Todos os posts tagados passatempo

BSidesLisbon – Entrevista + Passatempo

BSidesLisbon - Entrevista + Passatempo

BSidesLisbon realiza-se a 4 de outubro em Lisboa.
Estive à conversa com um dos organizadores do BSidesLisbon – Bruno Morisson no qual partilho:

O que é a BSides e qual o público alvo?

A BSidesLisbon insere-se um conjunto de conferências sobre segurança da informação que existem um pouco por todo o mundo, as quais são realizadas pelas comunidades de infosec desses locais com o objectivo de partilhar conhecimento. A BSides original nasceu em Las Vegas em 2009, devido a uma série de apresentações com qualidade não terem sido aceites para a BlackHat Briefings, e desde aí tem-se expandido um pouco por todo o mundo. Chegou a vez de Portugal, mais concretamente Lisboa. É na prática uma comunidade de grupos autónomos, com o objectivo comum de realizar conferências locais sobre segurança da informação, que se tentam entreajudar na realização das mesmas.

Como surgiu a ideia para o BSides em Lisboa?

A ideia surgiu em conversa com o Tiago Henriques há uns dois anos, por sentirmos que pelo seu caracter informal e mais “techie” era exactamente o tipo de conferência a que nós próprios gostaríamos de assistir em Portugal. Além disso achámos que podia ser uma forma interessante de tentar por Portugal no mapa da comunidade infosec europeia e até mundial. Dada a experiência que já havia com as Confrarias mensais, achámos que seria um desafio alcançável, e que haveria de facto uma comunidade local interessada em participar e ajudar. Foi então que há cerca de um ano decidimos avançar com a realização da mesma.

Na minha opinião é muito importante a realização deste tipo de eventos em Portugal. Qual a razão de haver tão poucos?

Eu penso que tem a ver com 2 grandes razões: A primeira é que de facto somos uma comunidade (muito) pequena, o que só por si já torna complicada a realização de conferências em que tipicamente o objectivo é o lucro (não é o caso da BSidesLisbon, que será totalmente gratuita e sem fins lucrativos) dado o logo à partida reduzido número de potenciais participantes. A segunda é uma questão cultural. A minha percepção é que temos uma comunidade ainda muito fechada (ou muito desconfiada), com poucas pessoas a querer partilhar o que sabem. Aos poucos temos tentado alterar essa cultura, e quebrar esse “estigma” com as Confrarias, mas continua a não ser fácil desafiar pessoas a fazerem apresentações.

A formação dos portugueses na área de segurança informática é algo que deveria ser mais considerado. Como é possível melhorar este aspeto?

Na minha opinião estamos a chegar ao ponto em que se está a tornar impossível continuar a descurar a formação nesta área. Cada vez mais existe a consciência que os sistemas que a maioria das pessoas considerava seguros ou infalíveis não o são. Não é de todo novidade para quem trabalha na área, mas começa a ser um facto melhor compreendido pelo público em geral. Isso irá levar que exista a curto prazo (espero eu) uma maior exigência por parte das pessoas relativamente aos aspectos que dizem respeito à segurança dos dados (pessoais ou outros), comunicações, etc, e por arrasto levando à consciencialização das entidades públicas e privadas da necessidade de formação das pessoas que gerem os seus sistemas de informação. Aí acredito que existirão condições para que as universidades comecem a dar um maior enfoque à segurança da informação nos seus currículos, bem como para uma maior apetência das empresas por formar os seus quadros nesta área.

Depois de 2013… Vamos ter futuros BSides? Em outras zonas do país?

Espero que sim! Ainda é muito cedo para fazer previsões, mas tivemos uma adesão muito positiva por parte dos diversos patrocinadores do evento, bem como na quantidade, qualidade e diversidade geográfica das respostas ao Call For Presenters. Eu gostaria muito de ver outras BSides em Portugal, quereria dizer que existe interesse e principalmente pessoas motivadas e interessadas em criar estas pequenas comunidades locais de partilha de conhecimento que só nos valoriza a todos nós. Da nossa parte tentaremos partilhar tudo o que conseguirmos aprender desta experiência, quer seja para uma BSidesLisbon2014 ou uma BSidesPorto, BSidesBraga ou qualquer outro local onde exista interesse pela segurança da informação.

Os speakers já estão online e este evento promete ser um dos melhores eventos nacionais de segurança.
Recomendo seguirem a conta Twitter @Bsideslisbon e acompanharem as últimas novidades.

Agradeço a disponibilidade do Bruno e dou os parabéns pela iniciativa.

Passatempo

Se queres ganhar uma entrada para o BSidesLisbon, basta responderes à seguinte pergunta:

Um dos fundadores da BSides é conhecido por parecer membro dos ZZ-TOP. Qual o seu nome?

O primeiro comentário com a resposta correta ganha :-)

Boa sorte!

Evento Cibersegurança e Direito Informático + Passatempo

Evento Cibersegurança e Direito Informático + Passatempo

A ShadowSEC vai organizar no próximo dia 22 um evento de segurança informática.
O Security Meeting será um evento inteiramente dedicado a empresas e profissionais da área de Segurança da Informação, bem como do âmbito Jurídico. Esta edição terá como temáticas “Cibersegurança e Direito Informático”, onde traremos discussões sobre as principais tendências, problemas, falhas e soluções em ambas temáticas, bem como atuar na consciencialização (Awareness) dos profissionais.

Os temas em agenda são:

– Legislação do Cibercrime
– Insegurança Informática em Portugal
– Cibersegurança: Preparar o Futuro
– Combate a Crimes Informáticos – Caso prático
– Burla Informática
– Papel da organização no Combate ao Crime Informático

O preço de inscrição começa nos 50,00€ para estudantes, 75,00€ particulares e 100,00€ empresarial.

Mais informação no site oficial do evento – http://www.shadowsec.com/eventos-sm-22-02-2013.html

O WebSegura.net tem 5 bilhetes para oferecer. Para ganhar basta responder a 3 perguntas. As 5 primeiras respostas corretas ganham uma entrada para este evento.

1 – O que entendes por HttpOnly?
2 – Que tipo de vulnerabilidade encontras neste código – javascript:document.write(document.referrer); ?
3 – Destas três opções qual a melhor solução para guardar uma password numa base de dados:

1. BASE64(MD5)
2. SHA1+SALT
3. BASE64(SHA1)

As respostas devem ser enviadas via comentário a este artigo.
Os resultados serão publicados esta 6ª feira à noite.

Vencedores:

– Miguel
– Ricardo
– Tiago
– Hugo
– Fábio

Obrigado a todos.

Passatempo WebSegura + Titanium Walls

Passatempo WebSegura + Titanium Walls

Em colaboração com a empresa Titanium Walls, distribuidora oficial dos produtos Bitdefender em Portugal, venho dar continuidade aos passatempos WebSegura.

Este desafio é bastante simples. Basta ir a http://www.facebook.com/TitaniumWalls e colocar um like na página e em seguida descodificar a seguinte mensagem e responder à respetiva pergunta:

Dhny b znyjner dhr pbagvaun n frthvagr zrafntrz ab frh póqvtb: ovyyl tngrf jul qb lbh znxr guvf cbffvoyr ? Fgbc znxvat zbarl naq svk lbhe fbsgjner!!

Dica: Ave Caesar!

Os três primeiros utilizadores que comentarem com a resposta correta ganham um prémio.

  • 1º Bitdefender Total Security 2013 (licença de 1 ano) – Tiago Henriques
  • 2º Bitdefender Internet Security 2013 (licença de 1 ano) – Omar
  • 3º Bitdefender Antivirus Plus 2013 (licença de 1 ano) – Nuno

PS: Convém utilizar um email válido no registo do comentário para que desta forma possa enviar o prémio.

Resultado do passatempo WebSegura.net

Fico satisfeito pela participação que o primeiro (de muitos) passatempo obteve.

O vencedor foi o Miguel Almeida que, em apenas algumas horas, enviou a solução correcta:

  1. Transferir o ficheiro desafio01.zip;
  2. Com a dica que foi sugerida para descobrir a password do ficheiro, assumir que está codificada em Base64 (por causa do terminador ‘=’ ) e descodificá-la;
  3. Com a descodificação Base64 de OGVhYmQ3YzQzMjZjOWU2NDJhNTA1N2RjMWNjNDEzYTY= obtemos 8eabd7c4326c9e642a5057dc1cc413a6;
  4. O valor obtido parece uma hash MD5. Tentar decifrar esse valor com um cracker. Por exemplo, http://passcracking.com;
  5. password do ficheiro é figueira;
  6. O arquivo contém um ficheiro PHP: desafio01.php;
  7. Analisando o código, parece possível introduzir XSS no campo utilizador;
  8. Na prática, a primeira iteração da página ainda não tem o cookie utl activo (porque a variável utilizador ainda não tem qualquer valor atribuído);
  9. Quando introduzimos um valor nessa variável – utilizador – o cookie utl ganha vida e, em seguida, por causa disso, é impresso no ecrã;
  10. Para explorarmos o XSS, basta introduzirmos no campo utilizador o sequinte: <script>alert(String.fromCharCode(86,101,110,99,105,32,111,32,100,101
    ,115,97,102,105,111,32,48,49,32,100,111,32,87,101,98,83,101,103,117,
    114,97,46));</script>

(Screenshot enviado por Miguel Almeida)

Nuno Mendes e Artur Vidal também completaram com sucesso e, como sou um mãos largas, vão receber um voucher de €15,00 da Amazon.co.uk cada um.

Espero que tenham gostado.

Passatempo WebSegura.net – ganha um voucher da Amazon

A partir deste momento já está disponível o desafio que proponho a todos os utilizadores do WebSegura.net a ultrapassar.

Para tal, basta ir a página oficial do blogue no Facebook e clicar na tabulação Passatempo.

Para qualquer informação adicional não hesitem em comentar este artigo.

Notas:

  • O voucher é de 30,00€ e de uso exclusivo para a loja Amazon.co.uk;
  • O desafio é moderado e é necessário algum conhecimento em segurança web;
  • Poderei colocar algumas pistas ou dicas aqui nos comentários;
  • Ao colocarem alguma dúvida nos comentários, tenham em atenção os spoilers