quinta-feira, 20 de maio de 2010

YSTS4 - Revendo

Descrever o YSTS não é tarefa fácil. Pense em uma combinação de boas palestras com bom público, e adicione uma organização impecável. Acabou ? Não ! O evento vai além, com um modelo inovador em um local bem escolhido, aliando networking e conhecimento técnico de ponta.

O evento começou com as palavras dos organizadores e, sem mais delongas, prosseguiu na palestra do Andrew Cushman, diretor da Microsoft. Andrew falou sobre o EMET e mitigação sobre alguns exploits usando esse toolkit. Mal a palestra dele terminou, entra em cena um tal de Tony Rodrigues, falando sobre Virtualização e Computação Forense. De olho no maldito cronometro (rs), eu falei sobre máquinas virtuais, seu crescente uso corporativo e como um perito/investigador digital pode ver essa tecnologia. Tratei de alguns aspectos em realização de Forense em máquinas virtuais, no uso de máquinas virtuais como ferramentas de trabalho, auxiliando o perito montando ambientes ou fornecendo praticidade à técnicas que já existiam, e por fim, comentei sobre como a praticidade de criação e destruição de máquinas virtuais pode ser usada por atacantes como anti-forense, além de algumas possibilidades de detecção dessas técnicas.

Nicholas Percocco, da SpiderLabs, mostrou logo em seguida o resultado do Global Security Report. Esse report seguiu a disponibilização de um paper sobre a pesquisa feita pelo grupo, após ter realizado em 2009 um considerável número de pen testes e investigações em incidentes. Foi um verdadeiro mapa de como anda a situação, nesse aspecto.

Breve intervalo para o bate papo e Alex Kirk, da SourceFire, vem falar sobre os novos avanços que a engine do Snort fez em detecção em client-side exploits, desde javascripts até os mais recentes PDFs mal formados. Logo depois, Luiz Firmino, do HSBC, fez uma das palestras que achei mais interessantes, comentando aspectos de rastreabilidade e resposta a incidentes em grandes corporações. Fiquei meditando em algo que Firmino comentou durante sua palestra, sobre ser importante que o líder do time de resposta a incidentes, que em geral é multidisciplinar e originário de várias áreas, receber a autoridade sobre a equipe no momento da crise. Já vi e também tomei conhecimento de crises que se alongaram por choques de poder entre o líder do CSIRT e o chefe de fato do membro da equipe. A bem da verdade, isso é mais um problema que aponta para a necessidade do comprometimento da alta gestão, deixando tudo devidamente apontado antes que um incidente aconteça.

Hora do almoço, open bar rolando e vamos para mais uma etapa. Chris Hoff (CISCO) falou sobre Cloud Computing, detalhando alguns aspectos ligados à segurança. Ryan Jones, também do SpiderLabs, fez uma palestra bem interessante sobre vulnerabilidades bem comuns na segurança física de datacenters. Cada coisa horripilante de ser encontrada, e com direito a fotos !

Joaquim Espinhara, pesquisador lá do Nordeste, veio com sua Pitu e seu framework sobre pen test para SAP. Mostrou algumas coisas bem interessantes, principalmente porque algumas empresas não investem tempo necessário para hardenizar adequadamente suas instalações ERP.

Antes que todos começassem a ver 3 palestrantes no palco ao mesmo tempo e falar "zuzzu bem", mais um intervalo e sobe o "mestre de cerimonias" Anchises (iDefense) para comandar o InfoSec Arena, uma inovação do YSTS4 que colocou a turma para debater temas escolhidos pelos próprios participantes, tudo com muito bom humor e algumas doses a mais de álcool :)

Fim do evento com chave de ouro promovido pela HCF (Hackers construindo futuros) e o tradicional leilão para levantar fundos.

That's it ! Se eu esqueci de algo, comentem !!

Até o próximo post !

quarta-feira, 5 de maio de 2010

Novo DEFT no ar

A turma do DEFT trabalhou rápido e já está no ar a mais nova versão desse aclamado live CD de Computação Forense.

O site deixa especificado poucas mudanças. Na prática, a próxima versão, esperada para o final do ano, prevê algumas modificações significativas, incluindo a base do SO.

Por enquanto, as novas alterações são:

- Novas versões do SleuthKit e Autopsy;
- Correções de bugs no Dhash e DEFT Extra (a parte Windows voltada para IR);
- Nova versão (a mais atual) do Xplico;

Como eu já disse algumas vezes, essa distrô vale, sozinha, pelo Xplico. Nessa nova versão, há o suporte atualizado aos protocolos VOIP, permitindo a decodificação completa dos pacotes capturados em um pcap. Ou seja, com essa versão, o Investigador Digital captura pacotes em uma rede onde trafega VOIP e depois, com alguns simples cliques, consegue ouvir a conversa que rolou, completamente. Sim, com o Xplico você não vai precisar ficar perseguindo pacotes, o Xplico e seus Decoders fazem tudo para você.

Planejo fazer em breve um artigo mais completo sobre essa nova versão e também sobre o Xplico. Enquanto isso, alguém já baixou o novo DEFT 5.1 e quer comentar ?

Até o próximo post !

sábado, 1 de maio de 2010

VIII GAMACOMP

O VIII GAMACOMP vai estar acontecendo nos dias 3 e 4 de maio de 2010.

O Gamacomp é um fórum anual organizado pelos cursos de Ciência da Computação, Redes de Computadores e Tecnologia da Informação da Universidade Gama Filho.

Segundo o site, o evento tem como objetivo, o intercâmbio, aprimoramento, troca de experiências e divulgação de pesquisas na área de Computação e Informática, objetivando aproximar alunos, professores e profissionais de novas tecnologias, mostrando as tendências e o estado da arte neste campo. São realizadas palestras e minicursos com profissionais, especialistas e pesquisadores da área tecnológica.

Estarei por lá no dia 4, às 19h30, falando sobre Computação Forense usando software livre. A grade do evento, com as outras palestras e atividades, local e horários, pode ser vista aqui.

Até lá, ou até o próximo post !