Em 9 de fevereiro vai acontecer a primeira uCon, conferência de
segurança da informação, hacking e tecnologia realizada em Recife, PE.
A conferência não tem fins lucrativos, não terá palestras de empresas
tentando vender produtos e a entrada é gratuita.
Call for participation: http://ucon.thebugmagazine.org/cfp.php
1ª uCon
2 01 2008Comentários : Deixar um comentário »
Tags: conference
Categorias : Uncategorized
C/CppConBrasil | C/C++ Conferece Brasil | Brasil C/C++ Users Group Conference
26 11 2007E em breve teremos o tão esperado evento sobre C/C++, o que parecia ser um sonho está tornando-se realidade tão rápido que é até assustador o sucesso da aderência da idéia.
Ainda há muito o que se discutir, mas em breve a comissão organizadora estará liberando mais novidades sobre o evento e garanto que ele será excepcional.
E o código seguro? Sim, uma das palestras será sobre código seguro, aguardem! 
Comentários : 2 Comentários »
Tags: C/C++, código seguro, conference, embedded systems, eventos
Categorias : C++, CodeSec, eventos
Cortando o mal pela raiz v1.0: Mudflap & Valgrind
10 11 2007“Quem programou em C ou C++ já esbarrou nesta categoria de erro: buffer overflows que podem vir acompanhados” (ou não de) outros problemas como ponteiros não inicializados, memory leaks, etc e como afirma o David LeBlanc “toda vulnerabilidade pode ser explorada até que se prove o contrário”, portanto codificar de forma segura e debugar é preciso! Entre algumas dicas já oferecidas aqui anteriormente, segue um artigo [1] bem interessante do Savago onde ele trata de um específico tipo de buffer overflow que aborda o mudflap como ferramenta de debugging para encontrar estas falhas e o Valgrind que também é recomendada pelo Michael Behm.
[1] Detectando buffer over/underflow em C e C++ com ferramentas OpenSource
[2] Mudflap
[3] Valgrind
[4] Using valgrind to detect and prevent application memory problems
Comentários : Deixar um comentário »
Tags: buffer overflow, código seguro, debugging, Security, silver bullet, tunning
Categorias : CodeSec
Coisas que (Quase) Ninguém Sabe Sobre…
5 11 2007Parodiando o post Coisas que quase ninguém sabe sobre a Microsoft do Dennes Torres no Meio Bit (que já virou hype na blogosfera) o Fernando Cima lançou o post Coisas que (Quase) Ninguém Sabe Sobre Segurança na Microsoft.
Agora estou curioso para saber quem irá lançar os posts ou artigos “Coisas que (Quase) Ninguém sabe sobre os *NIX” e principalmente um “Coisas que (Quase) Ninguém sabe sobre Segurança nos *NIX“, ficará mais interessante quando começar a surgir os benchmarks entre eles!
[1] Coisas que quase ninguém sabe sobre a Microsoft
[2] Coisas que (Quase) Ninguém Sabe Sobre Segurança na Microsoft
Comentários : Deixar um comentário »
Tags: benchmark, microsoft, nix
Categorias : benchmark
Os formatadores de strings da Granja do Solar
5 11 2007Recentemente fiz uma revisão de código onde encontrei sprintf, gets, strcat e strcpy para todos os cantos, além de outros pecados mortais. Descontando os detalhes não tão óbvios, sobre strings, com várias fontes bibliográficas (inclusive em português), não acreditei na quantidade de código inseguro que encontrei num software comercial.
Como expressa o Sutter, “francamente, você já deveria estar utilizando snprintf mesmo antes dele ter tornado-se padrão” em “os formatadores de strings da Granja do Solar” capítulo do livro Exceptional C++ Style (que traduzido para o pt-br virou Programação avançada em C++) do Herb Sutter, onde de uma forma divertida ele cita George Orwell:
“Todos os animais são iguais, mas alguns são mais iguais do que outros”
Comentários : Deixar um comentário »
Tags: buffer overflow, código inseguro, código seguro
Categorias : CodeSec
Tutorial de Criptografia Numa Boa
3 11 2007A alguns anos eu venho recomendando o tutorial de assembly do site numa boa como material em português para se aprender assembly, porém fiquei surpreso quando um amigo veio comentar comigo que o tutorial de criptologia do site que eu havia indicado para ele é muito interessante; fui conferir do que ele estava se referindo e percebi que ele tinha razão. O site Aldeia Numa Boa da professora Viktoria Tkotz, realmente é muito mais do que um tutorial de assembly.
Porém este nome me parecia familiar e eu ainda não estava conseguindo fazer o devido join, foi quando percebi que um dos livros que estava guardado na minha estante aguardando leitura, o criptografia – segredos embalados para viagem é justamente da mesma autora do site, desta forma resolvi ler o livro e constatei que a obra é realmente muito boa.
Comentários : Deixar um comentário »
Categorias : criptografia
Ferramenta ideal de gerenciamento de log
3 11 2007Ideal Log Management Tool [1] é uma crítica muito bem humorada do Chuvakin em relação ao alucinado post chamado The Best Web Application Vulnerability Scanner in the World [2] do Jeremiah Grossman [3] .
Comentários : Deixar um comentário »
Categorias : IDS, log
YSTS – Um marco em eventos de infosec
2 11 2007
O evento YSTS v1.0 superou as expectativas dos participantes e posso afirmar sem nenhuma injustiça que ele foi um marco para eventos do gênero. Tenho participado de vários eventos nos últimos anos, conferências, convenções, workshops e garanto que meus comentários abaixo não são parciais de um geek entusiasta, mas sim uma sóbria perspectiva do que foi realmente o evento.
Segundo o seu anúncio, sua proposta era “trazer para o mesmo palco representantes de diversas camadas do mundo de infosec, oferecendo uma visão abrangente, tornando mais claras as semelhanças de cada uma das partes e reduzindo as barreiras que as separam, em um diálogo sem preconceitos” e felizmente eles alcançaram seus objetivos com grande sucesso, produzindo um evento de grande expressão. Leia o resto deste post »
Comentários : Deixar um comentário »
Tags: conferência, evento
Categorias : conferência, podcast
Curso de Snort, Hex-Rays SDK, Nessus 3.2 beta e Insider Threat
2 11 2007O Rodrigo Montoro, anunciou em seu blog [1] que em Dezembro ele irá ministrar um treinamento hands-on de SNORT [2] pelo Tempo Real Eventos.
E para aqueles que utilizam o Hex-Rays [3] em suas análises estáticas de malwares o Ilfak Guilfanov anunciou um SDK para o Hex-Rays [4] que aparentemente parece ser bem interessante.
O Pedro Augusto, do Security Hub, postou a segunda parte de sua introdução ao spoofing [5] onde ele menciona o HPing [6] e o Scapy [7] que eu também aprecio muito – talvez por ser que o Python é a linguagem que eu mais utilizo – mas dependendo da tarefa prefiro mais o pcapy [8] (que é um projeto da Core) ao Scapy.
Comentários : Deixar um comentário »
Categorias : IDS, RevEng, Scanners
