May 2010
8 posts
Novo Endereço
O nosso escritório central em Curitiba está agora em um novo endereço. Mudamos para uma área mais ampla, no mesmo bairro e com condições ainda melhores de atender nossos clientes e parceiros:
Rua Marechal Hermes 678 CJ 32
CEP 80530-230, Curitiba, PR
Se você preferir, literalmente, ver onde é que estamos agora, acesse pelo Google Maps.
Palestra no GTS 15 disponível
No dia 14 de maio participamos do GTS 15 apresentando a palestra “Encontrando falhas em aplicações web baseadas em flash” que agora está disponível em nosso site na parte de “Recursos” ou ainda diretamente no SlideShare.
Palestra no GTS 15
Amanhã o nosso Gerente de Pesquisa e Desenvolvimento, Wagner Elias, estará palestrando no GTS 15 às 14h00 abordando o tema “Explorando Aplicações Web que Utilizam Flash”, onde serão apresentadas as principais falhas em aplicações baseadas em Adobe Flash e os processos corretivos relacionados.
Mais informações sobre o evento podem ser conferidas...
24/7 Real Media’s Open AdStream v.5.7 (TXT...
Security Advisory CVE 2010-1582
24/7 Real Media’s Open AdStream v.5.7
INTRODUCTION
1. Copyright and Disclaimer
The information in this advisory is Copyright 2010 Conviso IT Security and provided so that the society can understand the risk they may be facing by running affected software, hardware or other components used on their systems. In case you wish to copy information from this...
3 tags
Projeto aprovado no Google Summer of Code 2010
Temos o prazer de anunciar que a submissão 802.11 Fuzzing and Testing for the FreeBSD Project foi aprovada para compor os projetos do Google Summer of Code 2010.
Conceitualizado por Gabriel Quadros, pesquisador do Conviso Security Labs, com o suporte do mentor Rui Paulo, o projeto tem como objetivo desenvolver um fuzzer para testar o código 802.11 no FreeBSD.
Uma vez que que os drivers...
Nova Contratação: Gabriel Quadros
Temos o prazer de anunciar a contratação de Gabriel Quadros para compor o quadro de pesquisadores do Conviso Security Labs. Cursando o Bacharelado em Ciência da Computação na Universidade Estadual do Sudoeste da Bahia, Gabriel é especializado em programação, bancos de dados, sistemas operacionais e engenharia reversa de binários.
Antes de se juntar ao nosso time, atuou como pesquisador...
4 tags
24/7 Real Media’s Open AdStream v.5.7 (PDF... →
This advisory describes a vulnerability in the permission of the directory RealMedia created as default during the installation of Open AdStream, an ad campaign management platform provided by 24/7 Real Media, which exposes directly to the Internet the configuration files, including .sql which contains access credentials. As a result, a cracker can use this flaw to install a backdoor or take the...
April 2010
1 post
4 tags
Cursos em parceria com a STS Produções
Mais conhecida pela organização do evento You Sh0t the Sheriff (YSTS), a STS Produções está ofertando uma série de treinamentos em Segurança da Informação, através de criteriosa seleção do conteúdo e dos instrutores.
A Conviso IT Security, através do Conviso Security Labs, está participando desta iniciativa com os cursos Web Hacking Tecniques e Internet Hacking Techniques que serão ministrados...
March 2010
1 post
4 tags
O uso de ferramentas de Bug Tracker no tratamento...
Por Wagner Elias, CBCP, SANS GIAC, CobiTc, ITILc
Gerente de Pesquisa e Desenvolvimento
Ao implementar processos de desenvolvimento seguro, geralmente nos deparamos com problemas considerados pelo senso comum como básicos e essenciais para a produção de software, o que é o caso da ausência de uma ferramenta de bug tracker. Neste post, descrevo a implementação de uma ferramenta destinada a...
October 2009
7 posts
3 tags
OWASP AppSec Brasil 2009 - Transmissão ao Vivo...
O OWASP AppSec Brasil 2009, que irá acontecer nos dias 29 e 30 de outubro de 2009 na Câmara dos Deputados, Anexo II, em Brasília, DF, terá transmissão ao vivo pela Internet em http://www2.camara.gov.br/webcamara/ao-vivo/transmissoes-do-dia.
2 tags
OWASP AppSec Brasil 2009 - Patrocínio Confirmado
Press Release: OWASP AppSec Brasil 2009 - Patrocínio Confirmado
Curitiba, 23 de outubro de 2009 - A Conviso IT Security anuncia que está patrocinando o evento OWASP AppSec Brasil 2009, a primeira edição nacional da série de conferências AppSec que irá ocorrer nos dias 29 e 30 de outubro de 2009 na Câmara dos Deputados, Anexo II, em Brasília, DF.
Sobre o OWASP AppSec Brasil
A série de...
WatchApresentação do nosso Gerente de Operações, Eduardo V. C. Neves, no evento You Shot the Sheriff 3, onde falou sobre a relação entre técnicos e gerentes de Segurança da Informação com a palestra “Como Transformar uma Abotoadura em um Boné”.
Vídeos do H2HC disponíveis
Estão disponíveis on-line as palestras da Edição 2008 do evento H2HC, onde o nosso Gerente de Pesquisa e Desenvolvimento, Wagner Elias, falou sobre Extreme Web Hacking.
Veja a apresentação on line ou veja a apresentação pelo Slide Share.
4 tags
OWASP AppSec - Quase 300 pessoas confirmadas
Quase chegando na semana do OWASP AppSec Brasil, estamos com 268 pessoas inscritas e se levarmos em conta a costumeira mania brasileira de deixar tudo para a última hora, este número ainda vai aumentar muito. Se você quiser ajudar a divulgar esta importante iniciativa para a Segurança das Aplicações no Brasil, a versão em pfd do cartaz oficial pode ser baixada à partir daqui.
Cost of IT security breaches jumps 97 per cent →
Apesar do título excessivamente chamativo, a matéria é muito interessante e a metodologia utilizada na pesquisa está disponível para download, o que a torna mais clara e permite a sua análise de maneira criteriosa.
The results are based on over 600 responses from Canadian IT security professionals and nine focus groups across Canada. A full copy of the 80-page report is available...
Playing Web Fuzzer na H2HC 2009
Estamos confirmados como palestrantes de mais uma edição do evento H2HC. Neste ano, Wagner Elias irá apresentar o tema “Playing Web Fuzzer”, mostrando asas vantagens e técnicas usadas para identificar falhas em aplicações WEB usando Fuzzer. Para isto serão feitas demonstrações utilizando ferramentas como WebSlayer e JBroFuzz e os recursos do OWASP Fuzzing Code Database Project.
August 2009
2 posts
Physical Penetration Testing Tells All
A proteção do seu Ambiente Informatizado vai bem além dos testes de segurança lógica. Nesta matéria do Dark Reading estão apresentados alguns conceitos sobre os penetration tests realizados na camada de segurança física além de links para vídeos demonstrando como os conceitos podem ser aplicados.
Database Hacking Video Demonstration from Imperva:...
Ontem foi publicado no blog da Imperva um vídeo demonstrando como é feito um ataque de SQL por Direct Database Access, que além de bastante instrutivo faz parte da seqüência de explicações conceituais e práticas disponíveis no ImpervaChannel.
July 2009
4 posts
OWASP AppSec - Segundo Keynote Speaker confirmado
OWASP AppSec Brasil 2009: Second Keynote Speaker confirmed. Got OWASP? http://idek.net/KaZ
OWASP AppSec - CFP encerra hoje
Hoje é o último dia para o envio de propostas de palestras para o OWASP AppSec Brasil 2009. Até às 00h00 de Brasília, o Comitê Organizador continuará a receber as propostas para que à partir da próxima semana seja feita a seleção e montagem da grade do evento. Se você ainda não o fez, olhe os critérios e faça a sua submissão.
The 10 dumbest mistakes network managers make
The 10 dumbest mistakes network managers make
Link Original
When you look at the worst corporate security breaches, it’s clear that network managers keep making the same mistakes over and over again, and that many of these mistakes are easy to avoid.
In 2008, Verizon Business analyzed 90 security breaches that represented 285 million compromised records. Most of these headline-grabbing...
OWASP AppSec - CFP até 11 de julho
A Conferência Internacional sobre Segurança de Aplicações, será realizada nos dias 27 a 29 de outubro de 2009 nas dependências da Câmara dos Deputados, em Brasília, DF.
Será promovida pelo OWASP Brasil com o suporte da Comunidade TI-Controle para tratar os diferentes assuntos relacionados a Segurança de Aplicações, tais como:
Desenvolvimento seguro
Segurança e arquitetura de software
Processos...
June 2009
3 posts
YSTS 3.0 - Algumas Fotos
Estivemos no evento YSTS 3.0, onde nosso Gerente de Operações apresentou uma palestra discutindo as relações entre gestores e técnicos em IT Security. Algumas fotos tiradas durante as palestras estão disponíveis em nosso Flickr, e a apresentação “Como Transformar Abotoaduras em Bonés” foi publicada para download público.
Spammers want to profit on Michael Jackson's death →
Como em toda notícia de amplo interesse público, a curiosidade da audiência é utilizada para propagar o malware e seus correlatos.
OWASP AppSec Brasil 2009 - Gary McGraw como...
Graças a mais uma grande iniciativa do Lucas Ferreira, o Gary McGraw aceitou o convite de participar do OWASP AppSec Barasil 2009 como Keynote Speaker. Além de ser um profissional extremamente renomado no mercado, McGraw é autor de diversos livros sobre segurança em software, incluindo o Building Secure Software, uma das referências do setor.
Entre os dias 29 e 30 de outubro de 2009, reserve a...
May 2009
2 posts
Detalhamentos dos Conviso Security Training
Atendendo a uma solicitação de nossos clientes, separamos no web site a descrição e ementa dos cursos ofertados pelo Conviso Security Training. Agora, você pode olhar diretamente com detalhes como são os nossos treinamentos.
A primeira descrição disponível é a do curso Internet Hacking Techniques, que você pode ver diretamente em formato pdf.
Novo Data Sheet do Conviso Security Training
Publicamos hoje um novo data sheet apresentando o Conviso Security Training e os cursos ofertados. Dê uma olhada em nosso web site, ou vá direto para a versão em pdf.
April 2009
9 posts
Patrocínio e cursos no Evento You Shot the Sheriff...
Press Release disponível também em formato PDF
A Conviso IT Security anuncia que está patrocinando pelo segundo ano consecutivo, desta vez como Green Label, o evento You Shot the Sheriff 3.0, a terceira edição de um dos mais inovadores eventos do mercado de Segurança da Informação brasileiro.
Com palestras técnicas para motivar gerentes e sobre gestão e carreira que agradarão os técnicos, o...
1 tag
ISO/IEC 15.408: Não é para desenvolvimento seguro
Uma versão em PDF deste artigo está disponível em nosso web site.
Introdução
Começar um artigo com um título negando uma afirmação amplamente divulgada é praticamente um convite a discussões intermináveis entre os que defendem uma abordagem ou outra, o que nós conhecemos como flamewar. Mas fique tranquilo, meu interesse é simplesmente esclarecer um equívoco que vem sendo repetido amplamente por...
1 tag
Conviso Security Training
As informações apresentadas neste post, estão disponíveis em uma versão PDF que pode ser acessada diretamente em nosso web site.
CONVISO SECURITY TRAINING
Capacitamos a sua equipe em técnicas avançadas de IT Security para proteção de suas aplicações corporativas e componentes das redes de dados
O custo de uma aplicação insegura
A segurança de aplicações é um campo relativamente novo no...
2 tags
Pentagon spends $100 million to fix cyber attacks →
Claro que o investimento citado na manchete é proporcional ao país em questão e o fato de ser o Pentágono. Porém, levando isso para a sua realidade, a mesma abordagem adotada pelos militares norte-americanos pode ser aplicada a qualquer organização civil com sucesso:
Speaking to reporters from a cyberspace conference in Omaha, Neb., the military leaders said the U.S. needs to invest more money in...
2 tags
Conviso Security Training: Internet Hacking...
Publicamos hoje a versão atualizada do nosso curso “Internet Hacking Techniques”, onde incluímos a ementa solicitada por alguns clientes e os novos valores para 2009. O conteúdo apresentado neste post, está também disponível em uma versão PDF.
APRESENTAÇÃO
Racional
O desenvolvimento constante das ferramentas utilizadas na proteção de redes de dados, tais como firewalls e sistemas...
2 tags
Conviso Security Training: Web Hacking Techniques
Após o sucesso do curso Web Hacking Techniques ministrado durante a uCon Conference 2009, atualizamos o calendário para turmas em Belo Horizonte, Brasília, Curitiba, Recife, Rio de Janeiro e São Paulo. Abaixo, segue o conteúdo do data sheet do curso, que também está disponível em formato PDF.
CONVISO SECURITY TRAINING: WEB HACKING TECHNIQUES
Ao entender as principais vulnerabilidades em...
2 tags
A Queda de um Mito: Pesquisa mostra que o maior...
Este artigo está disponível em formato PDF através do site da Conviso IT Security
A mudança do paradigma
Durante muito tempo a única pesquisa de referência em Segurança da Informação era o documento anual “Computer Crime and Security Survey” publicado em conjunto pelo Computer Security Institute e o FBI desde 1997. Nos cinco primeiro anos, em média 48% dos eventos relacionados à falhas de...
2 tags
Hackers Seize on 0-Day Flaw in Microsoft's... →
Apesar da Microsoft informar que o bug permite ataques limitados, a Secunia classificou o problema como “extremely critical”.
Recursos Atualizados
Estamos atualizando a área de Recursos do nosso web site, onde você pode encontrar as apresentações que fizemos em diversos eventos, os Press Releases do que fazemos e agora os artigos que publicamos em diversos lugares.
March 2009
12 posts
2 tags
Study: IE8's SmartScreen leads in malware... →
De acordo com um estudo do NSS Labs, o browser Internet Explorer 8 é o mais eficaz entre as opções disponíveis para bloquear malware na web. A notícia foi publicada no dia 24 de março na ZDNet, e traz uma análise da pesquisa com uma tabela de block rate que posiciona o Opera 9.64 e o Internet Explorer 7 com “praticamente nenhuma proteção contra malware”.
Antes de se preocupar com os...
3 tags
Você precisa testar os controles de segurança da...
O conteúdo deste post está também disponível em um data sheet disponibilizado em nosso web site.
Conviso Security Testing
A proteção do seu ambiente através de testes reais dos seus controles, ações práticas para adequação do nível de proteção e recomendações de melhoria adequadas para cada caso.
Você sabe como contratar um pen-test?
Um teste de invasão (pen-test) é entendido de formas...
2 tags
O Conviso Application Hardening como ferramenta de...
Este estudo de caso também está disponível em formato pdf
Informações Gerais
Cliente: Empresa de grande porte no mercado de comunicação eletrônica.
Aplicação: Portal de relacionamento com clientes desenvolvido em Java e Ruby on Rails.
Motivador: Necessidade de validar os aspectos de segurança antes de encaminhar a aplicação para o ambiente de produção.
Resultados: Identificação e correção de...
2 tags
SAMM 1.0 Released!
O beta release do Software Assurance Maturity Model (SAMM) foi lançado hoje com a revisão resultante dos comentários e contribuições de diversas empresas, e a inclusão de tópicos que facilitam o entendimento do processo e a aplicação das recomendações para a melhoria da segurança no desenvolvimento de software:
Sumário executivo e introdução ao modelo
Detalhamento adicional dos modelos de...
OWASP Security Spending Benchmarks Project
Foi anunciado ontem no Security Target a publicação do OWASP Security Spending Benchmarks Project, onde 33% das empresas que responderam a pesquisa não sabem o percentual de seus orçamentos que é dedicado à segurança de suas aplicações web.
Se você comparar este resultado com o documento “A CISO’s Guide to Application Security” publicado pela Fortify, é possível prever que no...
psyb0t • The Register →
A notícia no The Register foi postada ontem na seção de Security, e apresenta um link para o detalhamento do problema e um risk mitigation simples. Vale uma lida, pois além de afetar o Netcomm NB5 ADSL modems, casos em equipamentos com hardware similar foram reportados no Brasil.
Facelift
Remodelamos o nosso web site, criando uma estrutura com melhor navegabilidade e disponibilizando muita informação de maneira mais simples e eficaz. Dê uma olhada no que fizemos em http://convisosec.com/home.
You can't filter The Stupid
Um ponto que ouvimos de alguns clientes é a comparação entre ferramentas manuais e automatizadas para a execução de testes de segurança. As duas abordagens são complementares e devem ser equilibradas de acordo com cada cenário, que é um dos tópicos muito bem expostos por Charles Henderson e David Byrne no OWASP SnowFROC que ocorreu no começo de março em Denver, Colorado.
Se tiver interesse em ver...
modsecurity? →
Um post na comunidade NStalker com uma questão que deveria ser feita diretamente aos gerentes de negócio das empresas:
Is it better to remain online with a critical vulnerability like a SQL Injection that was being protected by the Web Application Firewall or simply stay off the air and thus have nothing explored and exposed on the internet?
Cartão de crédito: 85% preocupados com fraudes
Em uma notícia postada em fevereiro na InfoMoney, uma pesquisa da Unisys concluiu que 85% dos brasileiros estão extremamente ou muito preocupados com fraudes com cartões de crédito ou débito utilizados para o seu pagamento. Isso acompanha bem outras notícias sobre fraudes envolvendo a captura dos dados do portador do cartão e a consequente fraude contra o consumidor.
Adotar o PCI DSS em sua...
MCIS 2009 em Atenas
Entre os dias 25 e 27 de setembro de 2009 será apresentada em Atenas, a The Mediterranean Conference on Information Systems (MCIS), onde serão debatidos diversos temas relacionados a pesquisa em itens relevantes para a sociedade, economia e cultura dos países mediterrâneos.
Com o tema “Information Society Research, Education, Policy and Practice in the Mediterranean Region”, a...
Cursos em IT Security à Distância
A Conviso IT Security celebrou uma parceria com a Virtual Testing para fornecer o curso Web Hacking Techniques dentro da estrutura de cursos à distância oferecidos pelo site. Com opções de pagamento em até doze vezes utilizando cartão de crédito, a opção permite que alunos de todos os países da CPLP tenham acesso a um treinamento especializado por um preço competitivo.