Em 9 de fevereiro vai acontecer a primeira uCon, conferência de
segurança da informação, hacking e tecnologia realizada em Recife, PE.
A conferência não tem fins lucrativos, não terá palestras de empresas
tentando vender produtos e a entrada é gratuita.
Call for participation: http://ucon.thebugmagazine.org/cfp.php
E em breve teremos o tão esperado evento sobre C/C++, o que parecia ser um sonho está tornando-se realidade tão rápido que é até assustador o sucesso da aderência da idéia.
Ainda há muito o que se discutir, mas em breve a comissão organizadora estará liberando mais novidades sobre o evento e garanto que ele será excepcional.
E o código seguro? Sim, uma das palestras será sobre código seguro, aguardem! 
“Quem programou em C ou C++ já esbarrou nesta categoria de erro: buffer overflows que podem vir acompanhados” (ou não de) outros problemas como ponteiros não inicializados, memory leaks, etc e como afirma o David LeBlanc “toda vulnerabilidade pode ser explorada até que se prove o contrário”, portanto codificar de forma segura e debugar é preciso! Entre algumas dicas já oferecidas aqui anteriormente, segue um artigo [1] bem interessante do Savago onde ele trata de um específico tipo de buffer overflow que aborda o mudflap como ferramenta de debugging para encontrar estas falhas e o Valgrind que também é recomendada pelo Michael Behm.
[1] Detectando buffer over/underflow em C e C++ com ferramentas OpenSource
[2] Mudflap
[3] Valgrind
[4] Using valgrind to detect and prevent application memory problems
Após ler o meu post Python & Android [1] um amigo questionou-me sobre o que eu pensava a respeito da segurança no Android, visto que se for possível criar scripts para o Android do OHA [2] como se faz para qualquer OS, talvez ele seria um tanto vulnerável. O curioso é que eu respondi algo muito parecido com um comentário que li posteriormente, do Mikko da F-Secure [3] que basicamente é o seguinte:
Parodiando o post Coisas que quase ninguém sabe sobre a Microsoft do Dennes Torres no Meio Bit (que já virou hype na blogosfera) o Fernando Cima lançou o post Coisas que (Quase) Ninguém Sabe Sobre Segurança na Microsoft.
Agora estou curioso para saber quem irá lançar os posts ou artigos “Coisas que (Quase) Ninguém sabe sobre os *NIX” e principalmente um “Coisas que (Quase) Ninguém sabe sobre Segurança nos *NIX“, ficará mais interessante quando começar a surgir os benchmarks entre eles!
[1] Coisas que quase ninguém sabe sobre a Microsoft
[2] Coisas que (Quase) Ninguém Sabe Sobre Segurança na Microsoft
Recentemente fiz uma revisão de código onde encontrei sprintf, gets, strcat e strcpy para todos os cantos, além de outros pecados mortais. Descontando os detalhes não tão óbvios, sobre strings, com várias fontes bibliográficas (inclusive em português), não acreditei na quantidade de código inseguro que encontrei num software comercial.
Como expressa o Sutter, “francamente, você já deveria estar utilizando snprintf mesmo antes dele ter tornado-se padrão” em “os formatadores de strings da Granja do Solar” capítulo do livro Exceptional C++ Style (que traduzido para o pt-br virou Programação avançada em C++) do Herb Sutter, onde de uma forma divertida ele cita George Orwell:
“Todos os animais são iguais, mas alguns são mais iguais do que outros”
A alguns anos eu venho recomendando o tutorial de assembly do site numa boa como material em português para se aprender assembly, porém fiquei surpreso quando um amigo veio comentar comigo que o tutorial de criptologia do site que eu havia indicado para ele é muito interessante; fui conferir do que ele estava se referindo e percebi que ele tinha razão. O site Aldeia Numa Boa da professora Viktoria Tkotz, realmente é muito mais do que um tutorial de assembly.
Porém este nome me parecia familiar e eu ainda não estava conseguindo fazer o devido join, foi quando percebi que um dos livros que estava guardado na minha estante aguardando leitura, o criptografia - segredos embalados para viagem é justamente da mesma autora do site, desta forma resolvi ler o livro e constatei que a obra é realmente muito boa.
Ideal Log Management Tool [1] é uma crítica muito bem humorada do Chuvakin em relação ao alucinado post chamado The Best Web Application Vulnerability Scanner in the World [2] do Jeremiah Grossman [3] .
O evento YSTS v1.0 superou as expectativas dos participantes e posso afirmar sem nenhuma injustiça que ele foi um marco para eventos do gênero. Tenho participado de vários eventos nos últimos anos, conferências, convenções, workshops e garanto que meus comentários abaixo não são parciais de um geek entusiasta, mas sim uma sóbria perspectiva do que foi realmente o evento.
Segundo o seu anúncio, sua proposta era “trazer para o mesmo palco representantes de diversas camadas do mundo de infosec, oferecendo uma visão abrangente, tornando mais claras as semelhanças de cada uma das partes e reduzindo as barreiras que as separam, em um diálogo sem preconceitos” e felizmente eles alcançaram seus objetivos com grande sucesso, produzindo um evento de grande expressão. Leia o resto deste post »
O Rodrigo Montoro, anunciou em seu blog [1] que em Dezembro ele irá ministrar um treinamento hands-on de SNORT [2] pelo Tempo Real Eventos.
E para aqueles que utilizam o Hex-Rays [3] em suas análises estáticas de malwares o Ilfak Guilfanov anunciou um SDK para o Hex-Rays [4] que aparentemente parece ser bem interessante.
O Pedro Augusto, do Security Hub, postou a segunda parte de sua introdução ao spoofing [5] onde ele menciona o HPing [6] e o Scapy [7] que eu também aprecio muito - talvez por ser que o Python é a linguagem que eu mais utilizo - mas dependendo da tarefa prefiro mais o pcapy [8] (que é um projeto da Core) ao Scapy.
News News II Destaques do Bittencourt