Palestras FISL Quinta-Feira

Continuando a série de palestras do FISL seguem os resumos das palestras que assisti na quinta feira (22/07):

Protegendo Web servers na web contra ataques Man-in-the-middle

Pelo título da palestra, pensei que objetivo do autor era apresentar alguma solução para evitar que servidores web sofressem ataques de Man-in-the-middle. Porém, infelizmente, não foi oque foi apresentado. O autor inicialmente deu uma descrição muito resumida do ataque ARP Poison, sem dar detalhes técnicos do funcionamento do ataque e nem explicou seus fundamentos, além de fazer algumas afirmações, que a meu ver questionáveis – por exemplo, afirmar que não existe nenhuma forma de evitar o ataque de ARP Poison.

O fato é que existe pelo menos uma: utilizar tabelas ARP estáticas com os endereço MAC de cada host da rede, o que evitaria o ataque simplesmente porque não seria necessário usar ARP em absoluto. Claro, o esforço de se implementar essa solução em redes até mesmo pequenas pode tornar é inviavel... mas existe, sim, uma maneira de evitar, daí uma afirmação de que não existe solução me parece incorreta. Existe também um artigo do próprio Kiko com estratégias para detectar e evitar ARP spoofing.

Outra afirmação no mínimo bizarra foi que MD5 e SHA1 são algoritmos de criptografia, sendo que na verdade são algoritmos de hash, que para um leigo pode parecer ser a mesma coisa mas é completamente diferente...

Do mais a minha impressão final sobre a palestra foi que o conteúdo em si apresentado pelo palestrante não demonstrou como se defender de ataques MITM contra servidores web.

Segurança e Desafios em Cloud Computing

Quando entrei no auditório para assistir essa palestra, eu estava com ótimas espectativas sobre o conteúdo da mesma, pois Cloud Computing é um assunto que me interessa bastante. O palestrante começou descrevendo oque é Cloud Computing, suas vertentes, explicou tudo que existe sobre XXX-as-a-service (até ai tudo bem... o cara realmente tem que dar um ebasamento teórico e uma introdução para quem não entende do assunto) e quando pensei "beleza, acho que é agora que ele vai falar sobre segurança e desafios em Cloud Computing". Ele apresenta o slide de agradecimentos e abre o espaço a perguntas...

Não sei se consegui absorver direito a mensagem do palestrante, mas na minha opinião, a palestra proferida não apresentou oque se propunha no título, que seria demonstrar segurança e os desafios existentes para Cloud e "no frigir dos ovos" foi somente uma palestra sobre "O que é Cloud Computing"...

As informações descriptografadas de hoje são os dados vazados de amanhã

Nessa palestra, o autor de forma bem humorada e didática classificou os níveis de necessidade por criptografia utilizando a seguinte representação: P, M, G e GG.

Representação P: Quando tem-se a necessidade de criar somente uma pasta com senha por exemplo. Para realizar essa tarefa o mesmo recomendou o uso da ferramenta CryptKeeper.

Representação M: Quando deseja-se criptografar todo o diretório Home do linux por exemplo. Para realizar essa tarefa o palestrante recomendou o uso da opção "criptografar home" na criação de novos usuários (no ubuntu).

Representação G: Quando deseja-se criptografar toda uma partição. Para realizar essa tarefa, o palestrante recomendou o uso do TrueCrypt (já conhecido e utilizado por nós tempesters).

Representação GG: Quando deseja-se fazer a criptografia TOTAL do disco rígido. A solução recomendada pelo palestrante foi uma opção que aparece na instalação do Ubuntu com Alternate Installer que permite criptografar todo o disco rígido.

Além disso o palestrante citou outras duas ferramentas, uma para criptografia de dispositívos móveis (pen-drives, etc) e outra pra criptografia em grupo, ou seja, quando somente algumas pessoas podem visualizar um determinado arquivo. Para criptografia em dispositívos móveis ele recomendou o uso da ferramenta crypt-keeper e para criptografia em grupo recomendou a combinação de duas ferramentas o GNUPGP + SeaHorse. Apesar de ter sido uma palestra que somente apresentou softwares eu gostei de como o palestrante apresentou o conteúdo.

Ferramentas livres para testes de invasão

Essa palestra eu tinha decidido assistir para conhecer alguma outra ferramenta que eu ainda não conhecesse para auxiliar nos testes de intrusão do dia-a-dia, a maioria das ferramentas apresentadas eu já conhecia, e irei citar algumas ferramentas que o palestrante apresentou que eu acho que valem pelo menos o teste:

Websecurify – identifica vulnerabilidades em app web através da utilização de fuzzing e advanced discovery.

CAT The Manual Web Application Audit – é uma aplicação para facilitar testes de intrusão manual em aplicações web.

Do mais a palestra foi só uma apresentação de ferramentas.

Parte anterior

Próxima parte

Comentários
Aceita-se formatação à la TWiki. HTML e scripts são filtrados. Máximo 15KiB.

 
Enviando... por favor aguarde...
Comentário enviado com suceso -- obrigado.
Ele aparecerá quando os moderadores o aprovarem.
Houve uma falha no envio do formulário!
Deixei uma nota para os admins verificarem o problema.
Perdoe-nos o transtorno. Por favor tente novamente mais tarde.