Nos últimos dias li duas matérias complementares sobre o futuro do penetration test. A primeira foi escrita com base em uma declaração de Brian Chess, da Fortify, que prediz a morte desta linha de serviços em 2009 e a sua substituição por processos de monitoramento como a escolha das empresas para a manutenção dos controles de segurança dentro do que é aceitável. Em seguida, Ivan Arce, da Core Security, escreveu um texto irônico, sarcástico e sensacional defendendo o oposto.

Eu acredito em uma coisa básica; o penetration test é a única ferramenta que testa os controles de segurança de uma forma real, sem discussões intermináveis sobre valor de ativos ou politicagem em cima do que determinado gerente quer fazer dentro da área de tecnologia. O penetration test é técnico, os resultados são baseados em evidências e as recomendações à prova de puxada de sardinha, pois levam a aspectos de configuração de componentes ou desenho de soluções.

Agora, por outro lado, dizer que o penetration test é a solução para analisar todos os aspectos de segurança de um ambiente, é mais uma falácia que cai no mesmo saco de conceitos natimortos do firewall-solução-para-tudo e do GRC-achei-a-bala-de-prata. É só mais uma ferramenta, que deve ser usada com critérios adequados e dentro de um processo para proteger o escopo em questão de forma real e prática.

Links Relacionados:

• A declaração e matéria com Brian Chess e outros para a CSO Online
• O artigo de Ivan Arce na mesma CSO Online

Está à venda uma nova edição do livro “Como Proteger e Manter seus Negócios: Um Plano Básico Para Contigências e Continuidade nas Empresas” do meu velho amigo Fernando Marinho. Eu tenho uma cópia da edição anterior, que me foi bastante útil para escrever algumas RFPs sobre Continuidade de Negócios em um passado recente. A resenha está reproduzida abaixo, e se você tiver interesse em comprar, dê uma olhada no site da editora.

Eu sempre achei as ferramentas Open Source algo em que devemos prestar atenção e avaliar se têm ou não uso em nossas empresas, e até em casa. Apesar de ainda ser refém do MS-Office, consigo usar muito bem o Thunderbird, Firefox e várias outras aplicações para suportar a minha vida pessoal e profissional.

No campo de Segurança da Informação, o Snort é talvez um dos mais interessantes casos de sucesso nesta área, e agora a comunidade brasileira conta com mais um recurso para conhecer melhor o que pode ser feito com esta excelente ferramenta, reproduzo abaixo a notícia:

É com muito orgulho que lançamos o novo site da comunidade Snort Brasil. Com um novo layout, o formato será mais dinâmico e trará atualizações constantes. Disponibilizaremos links para sites com assuntos relacionados ao Snort no Brasil e no mundo, além de artigos e notícias sobre novas versões e plugins.

Buscando unir teoria à prática, esperamos que este novo canal de comunicação possibilite inúmeras parcerias para a realização de encontros e eventos técnicos. Caso você tenha interesse em ser um parceiro da comunidade Snort-BR, acesse a área Patrocínio de nosso site. Hoje já contamos com o apoio da CLM (http://www.clm.com.br), representante exclusiva da Sourcefire no Brasil, comprometida a apoiar com o desenvolvimento da comunidade, sendo a responsável pelo oferecimento deste domínio.

Em alguns dias lançaremos aqui as primeiras informações sobre a 1ª Conferência Snort no Brasil, prevista para Julho, em São Paulo, trazendo participações mais que especiais de grandes nomes do Snort (nacionais e internacionais).

Gostaria muito de agradecer a todos os envolvidos no desenvolvimento no site e apoio, que são listado no link Mantenedores e listados abaixo:

André Luiz Rodrigues (si0ux)
Cleber Brandão (clebeer)
Marcos Aurélio Rodrigues (DeiGratiA33)
Rodrigo Montoro (Sp0oKeR)

Com certeza sem o trabalho em grupo não teriamos sucesso!

Acessem http://www.snort.org.br

Aguardem as novidades.

Happy Snorting!

Sugestões , Críticas e Elogios devem ser encaminhados para snort@snort.org.br

Equipe Snort-BR

Hoje me candidatei a dois projetos do OWASP Summer of Code 2008: P006 - OWASP Application Security Rating Guide e o P025 - OWASP Positive Security Project. No meu entendimento, os projetos são complementares uma vez que as informações levantadas no primeiro, podem ser utilizadas em uma segunda fase para dar vazão aos documentos do segundo.

Se você tiver interesse em dar uma olhada na minha submissão completa, ela está no web site do OWASP. Se for escolhido para as iniciativas, creio que será uma excelente oportunidade para as pessoas que perguntam como podem ganhar experiência no mercado de Segurança de Informação. Voluntários serão mais do que necessários, serão essenciais para o sucesso das empreitadas.

Poucas semanas atrás comprei algo que atendeu minhas necessidades de trabalho. Um equipamento pequeno, barato e que pudesse ser usado para apresentações e trabalhos simples de digitação, cálculos e preparação de apresentações. Junte-se a isto a capacidade de acesso à Internet por WiFi, uma web cam para video conferências e temos o Asus Eee.

Depois de instalar com sucesso o Ubuntu neste pequeno equipamento, descobri um interessante post que mostra como usá-lo para serviços de auditoria de sistemas e análises de segurança. Um resumo do que dá para fazer com ele:

• Nmap for scanning
• Ettercap for packet sniffing/intercepting
• Wireshark for packet sniffing
• Aircrack-ng suite for wireless auditing, access point detection and password analysis/cracking
• Metasploit 3 for framework for penetration testing
• John for offline password testing
• Hydra for online password testing
• Kismet for network access point detection