terça-feira, junho 29, 2010

Monografia sobre SELinux

Como o antigo site onde eu havia hospedado a minha monografia sobre SELinux está offline, resolvi disponibilizar a versão em PDF do mesmo. Foi minha monografia de conclusão da pós-graduação em Gerência e Segurança de Redes de Computadores. A monografia aborda o uso de SELinux para aumentar a segurança de servidores Linux:

Hardening Linux Usando Controle de Acesso Mandatório

Bom proveito !

segunda-feira, junho 21, 2010

Instalando o KeePassX no Linux



No caso de você não conhecer o que é o KeePassX, aqui vai uma breve descrição...

KeePassX é uma aplicação para pessoas com alta demanda em gerenciamento seguro de dados pessoais. Ele possui uma interface leve, é multi-plataforma e publicado sob os termos da GNU General Public License.


KeePassX salva muitas informações diferentes, como: usuários, senhas, urls, anexos e comentários em uma única base de dados. Para uma melhor gerência, títulos e ícones personalizados podem ser especificados para entrada. Além disso, as entradas podem ser classificadas em grupos, que também são personalizáveis. A função de busca integrada possibilita procurar em um único grupo ou em toda a base de dados.

KeePassX oferece um pequeno utilitário para geração de senhas seguras, O gerador de senhas é altamente personalizável, rápido e simples de usar. Pessoas que geram senhas frequentemente irão apreciar essa característica.

A base de dados é completamente criptografada com o algoritmo AES (conhecido como Rijndael) ou Twofish utilizando uma chave de 256 bits. Portanto, a informação salva pode ser considerada suficientemente segura. KeePassX utiliza um formato de base de dados que é compatível com KeePass Password Safe. Isso torna a utilização da aplicação ainda mais favorável.

Originalmente KeePassX era chamado KeePass/L para Linux uma vez que foi portado da aplicação windows KeePass Password Safe. Depois que KeePass/L se tornou uma aplicação multi-plataforma, o nome não era mais apropriado, e portanto o nome foi modificado para KeePassX em 22 de março de 2006.


Passo a passo para instalação do KeePassX em um Linux Fedora 13:

- Baixe o código fonte do KeePassX aqui;

- Instale as dependências para compilação do KeePassX:
# yum install autoconf automake libtool ntp gcc openssl-devel gcc-c++ make xorg-x11-proto-devel libXtst-devel

- Descompacte o código fonte em um diretório temporário:
# tar xvfz keepassx-0.4.3.tar.gz

- Dentro do diretório do código fonte, digite os comandos para compilação:
# qmake-qt4
# make
# make install


Pronto, está compilado e instalado, basta chamar o programa com o comando keepassx.



Nesse link, você poderá ver mais telas do KeePassX em ação. A interface é intuitiva, mas caso precise de ajuda, poderá verificar na ajuda do programa ou no site do KeePassX.

UPDATE: Esse meu guia era antigo, e agora o Fedora já inclui o KeePassX em seus repositórios oficiais e a instalação ficou ainda mais fácil, bastando dar o comando:
# yum install keepassx

Mas o guia continua válido se você utilizar alguma outra versão de Linux (ou BSD) e precisar compilar de seu código fonte.

quinta-feira, junho 17, 2010

Chamada por treinamentos - OWASP AppSec Brasil 2010





**APPSEC BRASIL 2010**
**CHAMADA DE MINI-CURSOS**

O OWASP (Open Web Application Security Project) solicita propostas de apresentações para a conferência AppSec Brasil 2010, que ocorrerá na Fundação CPqD em Campinas, SP, de 16 a 19 de novembro de 2010. Haverá mini-cursos nos dias 16 e 17, seguidos de sessões plenárias de trilha única nos dias 18 e 19 de novembro de 2010.

Buscamos pessoas e organizações que queiram ministrar mini-cursos sobre segurança de aplicações. Destacamos os seguintes tópicos de interesse:
- Modelagem de ameaças em aplicações (Application Threat Modeling)
- Riscos de Negócio em Segurança de aplicações (Business Risks with Application Security)
- Aplicações de Revisões de Código (Hands-on Source Code Review)
- Métricas Aplicadas a Segurança de Aplicações (Metrics for Application Security)
- Ferramentas e Projetos do OWASP (OWASP Tools and Projects)
- Tópicos de Privacidade em Aplicações e Armazenamento de Dados (Privacy Concerns with Applications and Data Storage)
- Práticas de Programação Segura (Secure Coding Practices)
- Programas de Segurança para todo o Ciclo de Vida de aplicações (Secure Development Lifecycle Programs)
- Tópicos de Segurança para tecnologias específicas (AJAX, XML, Flash, etc) (Technology specific presentations on security such as AJAX, XML, etc)
- Controles de Segurança para aplicações Web (Web Application Security countermeasures)
- Testes de Segurança de aplicações Web (Web Application Security Testing)
- Segurança de Web Services ou XML (Web Services, XML and Application Security)

A lista de tópicos não é exaustiva; outros tópicos podem ser abordados, desde que em consonância com o tema central do evento.

Para submeter uma proposta, preencha o formulário disponível em http://www.owasp.org/images/4/43/OWASP_AppSec_Brasil_2010_CFT%28pt-br%29.rtf.zip, que deve ser enviado por email para organizacao2010@appsecbrasil.org.

Cada mini-curso poderá ter 1 ou 2 dias (8 horas por dia) de duração e deverão estar em conformidade com as regras definidas pelo OWASP em seu "Speaker Agreement". A conferência pagará aos instrutores pelo menos 30% do fatuamente de seus mini-cursos. Cursos que consigam atrair mais que o número mínimo de alunos poderão receber percentagens maiores (mais detalhes abaixo). Não haverá qualquer outro tipo de remuneração (passagens, hospedagem, etc) para os apresentadores ou autores dos mini-cursos. Caso seja necessário um arranjo diferente, favor entrar em contacto com o comitê organizador pelo email abaixo.

**Remuneração**
Os instrutores e autores dos cursos serão remunerados conforme a quantidade de alunos. Se o curso atrair apenas o número mínimo de alunos, a remuneração será 30% do faturamento. Para cada 10 alunos a mais, a remuneração será acrescida de 5% do faturamento, até um máximo de 45% do faturamento do curso. Por exemplo, para um curso de 1 dia para uma turma de 10 a 19 alunos, os instrutores e autores receberão 30% do faturamento do curso. Para turmas entre 20 e 29 alunos, a remuneração sobe para 35% do faturamento e assim sucessivamente.

Em casos excepcionais, poderá ser acordado um esquema diferente para remuneração dos instrutores. Possíveis interessados devem entrar em contacto com a comissão organizadora pelo email organizacao2010@appsecbrasil.org

**Valores das inscrições**
Cursos de 1 dia: R$ 450 por aluno
Cursos de 2 días: R$ 900 por aluno

**Mínimo de alunos**
10 alunos para cursos de 1 dia
20 alunos para cursos de 2 dias

**Datas importantes:**
A data limite para apresentação de propostas é 26 de julho de 2010 às 23:59, horário de Brasília.
A notificação de aceitação ocorrerá até o dia 16 de agosto de 2010.
A versão final do material dos mini-cursos deverá ser enviada até o dia 15 de setembro de 2010.

A comissão organizadora da conferência pode ser contactada pelo e-mail: organizacao2010@appsecbrasil.org

Para mais informações, favor consultar as seguintes páginas:
Página da conferência: http://www.owasp.org/index.php/AppSec_Brasil_2010_(pt-br)
OWASP Speaker Agreement (em inglês): http://www.owasp.org/index.php/Speaker_Agreement
Página do OWASP: http://www.owasp.org
Página da conferência no Easychair: http://www.easychair.org/conferences/?conf=appsecbr2010
Formulário para apresentação de propostas: http://www.owasp.org/images/4/43/OWASP_AppSec_Brasil_2010_CFT%28pt-br%29.rtf.zip

********* ATENÇÃO: Não serão aceitas propostas sem TODAS as informações solicitadas no formulário *********

Favor divulgar a todos os possíveis interessados.

quarta-feira, junho 16, 2010

(IN)SECURE Magazine Issue 26 released

(IN)SECURE Magazine is a freely available digital security magazine
discussing some of the hottest information security topics.

Issue 26 has just been released. Download it from:
http://www.insecuremag.com

The covered topics include:

- PCI: Security's lowest common denominator
- Analyzing Flash-based RIA components and discovering vulnerabilities
- Logs: Can we finally tame the beast?
- Launch arbitrary code from Excel in a restricted environment
- Placing the burden on the bot
- Data breach risks and privacy compliance: The expanding role of the IT security professional
- Authenticating Linux users against Microsoft Active Directory
- Hacking under the radar
- Photos: Infosecurity Europe 2010
- Securing the office in your pocket
- iPhone backup, encryption and forensics
- The growing problem of cyber bullying
- Secure collaboration: Managing the inside threat posed by trusted outsiders
- SMS spamming
- A new scalable approach to data tokenization