Tag Archives: segurança

Os Dez Mandamentos do Hacker

Os Dez Mandamentos do Hacker

Durante um momento de inspiração divina acabou surgindo a ideia de criar os 10 Mandamentos do Hacker, sim como os 10 Mandamentos Bíblicos, foi então que recorri ao sempre criativo Anchises.

Após algumas trocas de emails chegamos aos 10 mandamentos, dos quais estamos divulgando no vídeo a seguir.

Para quem quiser ir acompanhando, segue:

1º – Amar o conhecimento livre sobre todas as coisas.
2º – Não usar títulos e certificações em vão.
3º – Aplicar patches de segurança mesmo aos domingos.
4º – Honrar Linux e Sistemas abertos.
5º – Não Invadirás computador alheio.
6º – Não adulterarás arquivos e dados.
7º – Não furtarás o wifi do próximo.
8º – Não levantarás falsos perfis.
9º – Não desejarás as informações privadas do próximo.
10º – Não cobiçarás a senha do teu próximo.

Assistam e nos enviem suas sugestões, comentários, elogios, críticas, etc.

Ah, podem compartilhar a vontade, utilizem o link: http://is.gd/10mandamentosdohacker ou ainda no SlideShare http://pt.slideshare.net/anchises/os-dez-mandamentos-do-hacker

52ª Edição – Thiago Bordini e Ranieiri Romera #naovaitercopa ;-) – 06/2014

52ª Edição – Thiago Bordini e Ranieiri Romera #naovaitercopa 😉 – 06/2014

Audio clip: Adobe Flash Player (version 9 or above) is required to play this audio clip. Download the latest version here. You also need to have JavaScript enabled in your browser.

Baixar episódio

Edição especial #naovaitercopa
Comentários sobre a Edição da BSides #naovaitercopa
Fim do TrueCrypt???
Vazamento de dados do Itamaraty
Dentre outros assuntos

BSides #naovaitercopa

51ª Edição – Thiago Bordini, Jordan Bonagura, Ewerson Guimarães e Raphael Bastos – 12/2013

51ª Edição – Thiago Bordini, Jordan Bonagura, Ewerson Guimarães e Raphael Bastos – 12/2013

Audio clip: Adobe Flash Player (version 9 or above) is required to play this audio clip. Download the latest version here. You also need to have JavaScript enabled in your browser.

Baixar episódio

Baixar em MP3

Estreando novo site, novo provedor e canal exclusivo no YouTube http://www.youtube.com/staysafepodcast

Projetos Area 31 Hacker Space
Biochip
Kankin Linux

47ª Edição – Thiago Bordini, Ewerson Guimarães e Jan Seidl

47ª Edição – Thiago Bordini, Ewerson Guimarães e Jan Seidl – 04/2013

Audio clip: Adobe Flash Player (version 9 or above) is required to play this audio clip. Download the latest version here. You also need to have JavaScript enabled in your browser.

Baixar episódio

Assuntos tratados:
Apresentação dos convidados
# O que são infraestruturas críticas.
São sistemas de infraestrutura para os quais a continuidade é tão importante que a perda, interrupção significativa ou degradação dos serviços poderia ter graves consequências sociais ou à segurança nacional. (Geração e distribuição de eletricidade; Telecomunicações; Fornecimento de água; Produção de alimentos e distribuição; Aquecimento (gas natural, óleo combustível); Saúde Pública; Sistemas de Transportes; Serviços financeiros; Serviços de Segurança (polícia, exército)

# O que é SCADA?
Ele é..
– Um sistema que controla e coleta dados de um processo
– Encaminha dados para outros dispositivos
– Usado industrialmente para controlar, dentre outras coisas, máquinas
— AKA Controlling cool stuff (Daniel Grzelak)
Ele não é..
– Um dispositivo
– Encriptado
– Controlador de dispositivos
Um sistema SCADA é composto por: Instrumentação de campo. Autômatos Programáveis. Rede de comunicações. Sistemas Supervisórios
Autômatos programáveis: RTU – Remote Terminal Units (Remotas), PLC / CLP (Programmable Logic Controller / Controlador Lógico Programável), IED – Mais usados na indústria elétrica
Protocolos Fieldbus: DeviceNet, Modbus, DNP3, Profibus
Supervisão e Controle: IHM (Interface Homem Máquina, para supervisão e controle distribuído), Sistemas Supervisórios: para supervisão e controle centralizado.

# Principais fraquezas dos sistemas SCADA
Falta de autenticação
Falta de criptografia
Falta de security by design

# Impacto e dificuldades em redes e sistemas SCADA
Sistemas SCADA devem primar pela velocidade da aquisição dos dados. Cada segundo de delay pode ser crítico.
Impossibilidade de se ter soluções que “custem” I/O como antivírus e HIDS.
Impossibilidade de uso de equipamento de rede que gere latência na rede.
Protocolos industriais são muito ruidosos e “gastam” todo o throughput da rede
Foco em disponibilidade: “Segurança CUSTA Dinheiro, Funcionalidade e facilidade GERAM dinheiro, Segurança gera perda de funcionalidade e facilidade”
Mitos: Redes SCADA estão em um mundo diferente, quanto a segurança, do mundo de TI, Sistemas SCADA não possuem vulnerabilidades com as vulnerabilidades de TI, Hackers não atacam sistemas SCADA, Possuo um sistema e protocolos personalizados, portanto não estou vulnerável
Infinite {Fun (for hackers), Damage (for crackers), Headaches, fear, and pain (for controllers)}

# Porque tem poucos profissionais pesquisando este segmento?
Necessidade de um testbed, Documentação as vezes falta, Muitas vezes é criptica

# Como comecar a estudar / analisar segurança SCADA
Ter um testbed; procurar a documentação online; estudar; praticar; goto estudar;

# Documentação disponível online sobre SCADA
Bastante coisa disponivel em ingles
Praticamente nada em portugues
Crescimento de videos educacionais sobre equipamentos e protocolos industriais no youtube (inclusive de fabricantes)

# Pesquisas realizadas e em progresso
DcLabs: Fuzzing de modbus, Fuzzing de http, Traffic analisys, data manipulation, data replay
Mundo: Diversas pesquisas desde 2008 (que eu tenho registro, pode haver recursos mais antigos)

# Pesquisas futuras planejadas
Oportunidade de trabalhar com outras marcas de equipamentos
Mais fuzzying

Contatos

Créditos musicais:
Julio Auto

Sites relacionados:

Blog: http://wroot.org
Apresentação CeBIT Hannover sobre SCADA: http://www.slideshare.net/tisafe/cebit-2013-workshop-presentation
RISI – Repository of Industrial Security Incidents: http://www.securityincidents.org/

Twitters:
Jan – @jseidl
Crash – @crashbrz
Bordini – @tbordini

 

46ª Edição – Thiago Bordini, Ewerson Guimarães, Rener Alberto, Marcelo Lopes e Raphael Bastos

46ª Edição – Thiago Bordini, Ewerson Guimarães, Rener Alberto, Marcelo Lopes e Raphael Bastos – 03/2013

Audio clip: Adobe Flash Player (version 9 or above) is required to play this audio clip. Download the latest version here. You also need to have JavaScript enabled in your browser.

Baixar episódio

Assuntos tratados:
Apresentação dos convidados
Comentários sobre:
BHack 2a edição
– Slack show – 2a edição
– OWASP – Uai Day

Porque o cenário de SI de MG é tão diferente de SP e do RJ?

Com relação aos novos profissionais de segurança da informação, quais são as fontes de informação recomendadas pelos convidados:
– Listas
– Foruns
– Blogs
– Sites
– Principais eventos
– Twitter
– IRC

Pesquisas em sistemas SCADA, health security, sistemas embarcados não são comumente vistas no Brasil por quais razões?

Próximos eventos com Call For Papers (CFP) abertos.
BSides – CFP
YSTS – CFP
H2HC – CFP

Contatos

Créditos musicais: Charlie Brown Jr (Homenagem póstuma)

Sites relacionados:

OWASP
Owasp Capítulo BH
Owasp Tutorial Videos
Hacking Lab
BR-Linux
HackStore
Viva O Linux
Chema Alonso
Chema Alonso
Malware don’t need coffee
Security Focus
BHack
Metasploit
Kali
Offsec
BHack Facebook

Twitters:
Owasp BH – @owaspbh
Crash – @crashbrz
Gr1nch – @Gr1nchDC
Bordini – @tbordini
Teamcymru – @teamcymru

IRC’s
Servidor IRC:
irc.freenode.net

Canais IRC:
#dclabs
#slackware-br
#gentoo-br
#gentoo-releng
#linux-br
#sourceforge

45ª Edição – Thiago Bordini e Alvaro Rios

45ª Edição – Thiago Bordini e Alvaro Rios – 01/2013

Audio clip: Adobe Flash Player (version 9 or above) is required to play this audio clip. Download the latest version here. You also need to have JavaScript enabled in your browser.

Baixar episódio

Assuntos tratados:
Quem é Alvaro Rios?
Como adentrar ao mercado de SI?
Qual a formação necessária, no que isso ajudou?
Especialização (Pos) contribui para a entrada no mercado de trabalho?
Como foi o procedimento para entrar na área?
Participação em eventos, congressos, submissão de papers e participação na comunidade ajuda?
Conhecimentos básicos para quem está iniciando.
Dos eventos de 2012 o que mais marcou?
Defcon XX (Documentário) / SegInfo / Eko Party / BSides / H2HC / Silver Bullet
Contatos

Créditos musicais – Julio Auto – Borderline

Sites relacionados:

Defcon Documentary Preview
Alvaro Blog
Curso sobre introdução a ciência da computação
Curso sobre introdução a ciência da computação

 

38ª Edição – Jordan Bonagura, Thiago Bordini e Antonio Pina

38ª Edição – Jordan Bonagura, Thiago Bordini e Antonio Pina – 08/2011

Audio clip: Adobe Flash Player (version 9 or above) is required to play this audio clip. Download the latest version here. You also need to have JavaScript enabled in your browser.

Baixar episódio

Assuntos tratados:

Quem é Antonio Pina?
Como é o desafio de gerenciar a segurança em um datacenter?
Quais os principais ataques? – politica empresarial para isto?
O que Cloud muda neste cenário? Ajuda ou dificulta a segurança?
A criação de normas e padrões como o Guide da CSA ajuda?
Uma certificação para Cloud facilitaria a implementação e adoção destes padrões?
O que podemos esperar com a crescente demanda de Cloud?
Contatos

Sites relacionados:

Alog – http://www.alog.com.br/

25ª Edição – Thiago Bordini, Jordan Bonagura e Ricardo Castro

25ª Edição – Convidado: Ricardo Castro – 02/2011

Audio clip: Adobe Flash Player (version 9 or above) is required to play this audio clip. Download the latest version here. You also need to have JavaScript enabled in your browser.

Baixar episódio


Assuntos tratados:
Quem é Ricardo Castro?
Tema: Formação do profissional de segurança
O que deve ser alterado no ensino básico/médio?
Cursos técnicos ajudam?
Faculdade hoje seria uma mera formalidade? Qual o papel?
Pós/MBA qual o peso?
Certificações ajudam ou atrapalham?
Qual o valor do autodidata para o mercado?
Como formar mais pesquisadores?
Existe difrença na formação para o mercado interno x mercado externo?
Quais são as carreiras promissoras para os próximos anos?
Contatos

Sites relacionados:
Twitter – http://twitter.com/profrcastro
Ricardo Castro – http://about.me/rcastro
Para sua segurança – http://parasuaseguranca.com.br/

6ª Edição – Thiago Bordini, Jordan Bonagura e José Milagre


6º Edição – Convidado: José Milagre – 05/2010

Audio clip: Adobe Flash Player (version 9 or above) is required to play this audio clip. Download the latest version here. You also need to have JavaScript enabled in your browser.

Baixar episódio


Assuntos tratados:
Direito Digital e suas vertentes:
Contribuições – Roubo de dados, pedofilia, difamação, direitos autorais e etc…
Dificuldade de obter resultados concretos devido a legislação
–  Proposta Lei Luiz Eduardo Azeredo
–  Marco Civil da Internet
Eleições digitais e segurança (uso de hackers por partidos):
– Casos (PT e PMDB) Defacement
– Como os profissionais de SI podem deslumbrar as eleições como mercado
– Compra de cadastro eletrônico e bases de emails (INSS/RF/Telefônica)
A dificuldade da venda de serviços na área de SI (Pentest)
– Como abordar/vender este assunto de maneira legal
– Como um advogado pode auxiliar neste ponto?
Dicas para profissionais interessados em ingressar no mercado de SI.
Cuidados que devem ser tomados em relação a legalidade.

Sites relacionados:

Sobre José Milagre: http://twitter.com/periciadigital
Blog ITWeb – http://www.itweb.com.br/blogs/blog.asp?cod=69
Blog Imaster – http://blog.imasters.uol.com.br/josemilagre/
LegalTech – http://www.legaltech.com.br/
Marco Civil da Internet – http://culturadigital.br/marcocivil/
Palestra SUCESU – http://www.sucesusp.org.br/mailing2010/palestra/roubo_de_informacao.html

 

5ª Edição – Thiago Bordini, Jordan Bonagura e Nelson Murilo


5º Edição – Convidado: Nelson Murilo – 04/2010

Audio clip: Adobe Flash Player (version 9 or above) is required to play this audio clip. Download the latest version here. You also need to have JavaScript enabled in your browser.

Baixar episódio

Assuntos tratados:
Melhores alternativas para proteção em uma rede wifi
Melhores “mitos” (Disable SSID, broadcast, mac filtering, etc)
Novas tecnologias e seus riscos (3G, Wimax, etc)
Vulnerabilidades/insegurança em SMS (Apresentação Blue Hat)
Thotcon, assunto da próxima palestra que você fará (Segurança em redes Wifi avião / WIDS)
Participação nos testes do TSE
Eventos e muito mais.

Sites relacionados:

Sobre Nelson Murilo – http://twitter.com/nelsonmurilo
Segurança Nacional – http://www.novatec.com.br/livros/seguranca
Seguranca em redes sem fio – http://www.novatec.com.br/livros/seguranca2
Apresentacao sobre mitos atuais de seguranca:ftp://ftp.registro.br/pub/gts/gts14/03-Mitoswifi.pdf
Podcast – http://naopod.com
YSTS – http://ysts.org
STS producoes – http://stsproducoes.com.br
Bluehat – http://blogs.technet.com/ecostrat/archive/2010/02/11/bluehat-security-forum-
buenos-aires-edition.aspx
Thotcon – http://thotcon.org