A Tempest Security Intelligence, empresa situada no Porto Digital, atuando há cerca de 12 anos na execução de consultorias e projetos na área de segurança está realizando um processo seletivo para o preenchimento de uma vaga em sua matriz (Recife/PE) para o seguinte cargo: ... (leia a matéria completa)
A Tempest Security Intelligence, empresa situada no Porto Digital, atuando há cerca de 10 anos na execução de consultorias e projetos na área de segurança está realizando um processo seletivo para o preenchimento de vagas em sua matriz (Recife/PE) para o seguinte cargo: ... (leia a matéria completa)
Há uns dias atrás li um artigo na revista Wired dando conta de mais um capítulo da saga do processo que o Paul Ceglia está movendo contra o Mark Zuckerberg (o criador do popularíssimo Facebook). Nessa etapa, o Zuckerberg contratou uma empresa "especialista em forense digital" para levantar evidências de que alguns documentos apresentados pelo Paul Ceglia são forjados. ... (leia a matéria completa)
A Tempest Security Intelligence, empresa situada no Porto Digital, atuando há cerca de 10 anos na execução de consultorias e projetos na área de segurança está realizando um processo seletivo para o preenchimento de vagas em sua matriz (Recife/PE) para o seguinte cargo: ... (leia a matéria completa)
A Tempest Security Intelligence, empresa situada no Porto Digital, atuando há cerca de 10 anos na execução de consultorias e projetos na área de segurança está realizando um processo seletivo para o preenchimento de vagas em sua matriz (Recife/PE) para os seguintes cargos: ... (leia a matéria completa)
Neste post reproduzimos um advisory (nota técnica) detalhando uma vulnerabilidade que descobrimos na interface web de gerenciamento em um dos produtos de teleconferência da Polycom. A vulnerabilidade viabiliza a execução remota de comandos privilegiados no ativo afetado. O advisory (em inglês) contendo os detalhes completos dessa vulnerabilidade está listado a seguir: ... (leia a matéria completa)
Neste post reproduzimos um advisory (nota técnica) detalhando uma vulnerabilidade que descobrimos na interface web de gerenciamento em um dos produtos de teleconferência da Polycom. A vulnerabilidade viabiliza o acesso a quaisquer arquivos no filesystem do ativo afetado. O advisory (em inglês) contendo os detalhes completos dessa vulnerabilidade está listado a seguir: ... (leia a matéria completa)
Neste artigo irei descrever uma técnica moderna de exploração de buffer overflows conhecida como Return-Oriented Programming, esta técnica é muito interessante por passar por proteções a nível de sistema operacional como Executable space protection (NX, DEP, W^X) assim como Address Space Layout Randomization (ASLR). ... (leia a matéria completa)
Interessado em trabalhar na Tempest? Meu departamento aqui na Tempest Recife está com vagas abertas, uma para estagiários e outra para pleno. Neste post vou detalhar o perfil profissional desejado, os desafios técnicos envolvidos e até darei dicas sobre como melhorar suas chances de ser selecionado. Leia este post inteiro e com atenção. Se você achar que se encaixa, sinta-se convidado a enviar seu currículo. ... (leia a matéria completa)
Além de filosófico, o artigo de hoje é um tanto ambicioso: tentarei propor uma definição genérica para "segurança" que seja sucinta mas abrangente, didática mas rigorosa, e que encaixe bem tanto com as noções intuitivas que todo mundo tem, tanto com seu uso em segurança de sistemas de informação e outras áreas correlatas. Tento, com isso, preencher uma lacuna esquisita: dentre as dezenas de livros de "segurança" e artigos técnicos-científicos que li ao longo dos anos, não me lembro de nenhum que tenha oferecido uma definição que eu tenha achado satisfatória do que seja essa tal de "segurança". ... (leia a matéria completa)
Como é de costume aos vencedores do THC (Tempest Hacking Challenge) fazer um overview crítico sobre a conferência e as palestras apresentadas, venho através desse blog post descrever, a vocês leitores, minhas impressões sobre a EkoParty 2011, como também sobre algumas palestras que assisti durante o evento. ... (leia a matéria completa)
Semana passada, na conferência de segurança Ekoparty, foi apresentada um artigo com uma técnica e uma ferramenta associada (batizada de "BEAST") que viabiliza certos tipos de ataque mesmo em sites protegidos com HTTPS. Neste artigo, vou apenas prover algumas receitas práticas de mitigar o ataque e algumas referências externas para você se informar melhor; depois eu escrevo um outro artigo explicando como o ataque funciona, o que está sendo feito a respeito e meus comentários filosóficos usuais. ... (leia a matéria completa)
Visitando o site da Folha de São Paulo, não pude deixar de notar uma chamada para o serviço FolhaLeaks que eles lançaram para aceitar denúncias e informações "vazadas" de interesse jornalístico. Mas o que me chamou a atenção foi a aparente falta de cuidados técnicos para proteger a anonimidade das fontes. Para a galera do tl;dr, eis aqui o resumo da ópera: a) o anonimato parece ser opcional – há um botão "sim/não" para a pergunta "Gostaria de manter o anonimato?"; b) não há instruções sobre mitigação de rastreabilidade para os que querem manter o anonimato; e c) eles não usam HTTPS nem mencionam o Tor. ... (leia a matéria completa)
Aqui na Tempest, desde o ano passado foi criada uma política de incentivo interno para a galera que trabalha aqui, e um dos frutos dessa nova política chama-se THC (Tempest Hacking Challenge), que é um desafio no estilo capture the flag criado por um dos nossos diretores Marco "Kiko" Carnut com o objetivo de premiar os vencedores com passagens, hospedagem e ingresso para algum evento de segurança da informação tudo pago pela Tempest. Na semana passada foi dado início a uma nova edição do THC onde, dessa vez carimbava o passaporte dos campeões para EkoParty 2011 que acontecerá em Buenos Aires (Argentina) nos dias 21, 22 e 23 de setembro! ... (leia a matéria completa)
Este artigo é talvez o mais importante da série do NASDEC (nosso projeto para criar um NAS que dê aos nossos dados uma longevidade superior a 10 anos e satisfazendo vários critérios de segurança): vou detalhar de forma simplificada como se pode montar as camadas superiores da pilha de armazenamento – o LVM e o GlusterFS. Ao final do artigo já teremos um NASDEC minimamente funcional e pronto pra usar. ... (leia a matéria completa)
No episódio de hoje da saga do NASDEC, vou detalhar a instalação do sistema operacional básico e da pilha de software relacionada ao gerenciamento básico do espaço em disco e a criptografia em tempo real, sobretudo os "truques" que eu tive de usar para que tudo isso funcione com bom desempenho. Esse artigo também serve como um tutorial sobre cifragem de disco com o dm-crypt, que creio ser útil até para quem não está interessado no NASDEC. ... (leia a matéria completa)
No post de hoje, vamos começar a discutir os aspectos de software relacionados ao NASDEC, o nosso armazém redundante de dados projetado para fazer com que nossos terabytes de dados sobrevivam pelo menos dez anos. Vou dar uma visão geral da pilha de software, explicando os prós e contras daquelas escolhas. Também vou falar de várias outras hipóteses que considerei, mas rejeitei. ... (leia a matéria completa)
Hoje eu assisti uma palestra no FISL12 que me deu uma oportunidade tão boa de desfazer alguns mal-entendidos sobre certificação digital que vale até a pena sair da sequência que eu tinha originalmente planejado para a esta série de artigos. A palestra se chamava "Software Livre na Infra-Estrutura de Segurança do Governo Brasileiro". Quando vi o título, pensei que "infra-estrutura" se referia às redes, roteamento, sistemas autônomos, etc., que conectam os vários setores do governo à Internet. Por isso, surpreendi-me um pouco quando vi o palestrante falar sobre certificados digitais e autoridades certificadoras. Títulos ambíguos e imprecisos são, infelizmente, uma tática muito comum para atrair audiência. ... (leia a matéria completa)
Neste artigo, vou narrar uns testes de resistência a ataques de negação de serviço que um cliente nosso há uns meses atrás pediu que fizéssemos contra um de seus sites. Pedidos como esse são relativamente raros; a maioria dos operadores de sites já intuem que seus sistemas não são projetados para aguentar esse tipo de ataque e muitas vezes preferem não pensar muito a fundo no assunto. Mas esse cliente, obviamente diferenciado, não só queria pensar no assunto, mas também queria algo mais "científico" do que "achismos". Por isso, quando o pedido chegou, o pessoal da equipe de pen-test da Tempest veio me pedir umas sugestões. ... (leia a matéria completa)
Acabei de receber um email do Lincoln dando conta que Neil McDonald do Gartner propôs uma idéia semelhante à que eu já tinha dado para usar o recurso de "snapshots" de sistemas de virtualização para incrementar a segurança de sistemas computacionais contra invasão, batizando-a com o pomposo nome de "systematic workload reprovisioning". ... (leia a matéria completa)
Na semana que passou, a mídia internacional divulgou que o site do Citigroup havia sido invadido, e que os hackers tinham roubado informações confidenciais (nomes, endereços, números de cartões de crédito, e histórico de transações) de mais de 200.000 clientes do banco. Achei estranho a mídia nacional não ter dado muito destaque a esta invasão, sobretudo por ela estar sendo considerada uma das invasões mais vexatórias que já aconteceram. Segundo matéria publicada no New York Times, ... (leia a matéria completa)
Neste artigo vou descrever a configuração de hardware para o NASDEC – o projeto do nosso NAS redundante e de alta disponibilidade projetado para dar aos nossos dados uma longevidade de 10 anos ou mais. Como prometi, vou descrever todos os componentes em detalhes suficientes para que um leitor interessado possa montar seu próprio NASDEC. Incluí também links para os fornecedores exatos de onde comprei os equipamentos e uma análise detalhada dos custos de aquisição e operação. ... (leia a matéria completa)
Como garantir que daqui a dez anos eu ainda tenha meus dados? É difícil negar que o mundo digital esteja tornando as lembranças efêmeras. Geramos uma quantidade absurda de dados, mas também perdemos outro tanto. Entre HDs pifados, cartões de memória perdidos, migrações de disquete pra pendrive, de HD PATA para SATA, surpreendentemente pouco sobra. Em contraste, meus pais ainda têm as fotos de quando eu nasci. Será que eu terei o mesmo pra mostrar aos meus filhos daqui a algumas décadas? ... (leia a matéria completa)
Eis aqui uma matéria no Wall Street Journal dando conta que a RSA finalmente admitiu que o vazamento de segredos técnicos sobre o qual eu comentei anteriormente de fato levou a ataques bem sucedidos a alguns fornecedores dos militares americanos. ... (leia a matéria completa)
A Tempest Security Intelligence, empresa situada no Porto Digital, atuando há cerca de 11 anos na execução de consultorias e projetos na área de segurança está realizando um processo seletivo para o preenchimento de vagas de estágio em sua matriz (Recife/PE) para os seguintes cargos: ... (leia a matéria completa)
