Faz um bom tempo que eu utilizo o wordpress para manter este blog, sempre achei uma excelente ferramenta. Mas agora tenho ainda mais motivos para adota-lo nas minhas iniciativas.

Com a popularidade do wordpress, não demorou muito para as vulnerabilidades começarem a aparecer. Felizmente a comunidade e a empresa responsável pelo wordpress não tem decepcionado, a resposta a problemas de segurança que, são inevitáveis, é muito rápida e eficaz.

Eu acabei de migrar o blog para versão 2.6, nesta versão algumas mudanças relacionadas a segurança valem o comentário.

1. XML-RPC desabilitado por default;
2. Controles para garantir a integridade dos cookies;
3. Salt nas senhas;
4. Tratado as informações de erro relacionadas ao Banco de Dados.

Além destas mudanças, um dos maiores especialistas em segurança de ambiente web na minha opinião, Petko D. (PDP) Petkov do GNUCITIZEN junto com o BlogSecurity, lançaram o Blogsecurify. A iniciativa conta com o apoio de PDP no antigo projeto do BlogSecurity, o wp-scanner.

Para fazer um scan buscando por vulnerabilidades no seu wordpress usando o Blogsecurify baixe o plugin disponibilizado, habilite-o e no site do blogsecurify informe a URL do seu blog e mande analisar.

Este mês atingimos mais uma grande meta na Conviso. Quando eu e o Eduardo Neves decidimos juntar esforços e tornar a Conviso uma referência em segurança técnica, nosso objetivo era trabalhar junto ao mercado Europeu e ir ganhando força no mercado extremamente competitivo do Brasil.

Foi assim que o Eduardo partiu para Dinamarca para se aproximar na época de um parceiro. Este mês o parceiro passou a ser sócio da Conviso. No site da Conviso você pode conferir o press-release desta nova conquista.

Com esta conquista a Conviso ganha muito mais força e recursos para continuar trabalhando em pesquisa e desenvolvimento do mercado de Segurança Técnica.

O portal SNMPLink.org disponibiliza todo tipo de recurso sobre SNMP (Simple Network Management Protocol). Lá você encontra referência de artigos, tutoriais, livros e ferramentas. O local certo para encontrar informações sobre gerenciamento de rede usando SNMP.

Acabo de incluir na página de vídeos do blog a referência ao arquivo de vídeos do Data Center Knowledge, destaco os seguintes:

Infra-Estrutura de suporte a DNS da VeriSign (53 min.)

Sistema de Supressão de Incêndio (5 min.)

A Grisoft desenvolvedora do popular antivírus AVG adotou uma prática que eles entenderam como genial, mas a coisa é bastante absurda e sem sentido na prática.

Enquanto você faz uma pesquisa em sites de buscas como Google, Yahoo ou Windows Live, uma função chamada LinkScanner sorrateiramente visita todos os links listados buscando por "links maliciosos". Tudo isso como se fosse você, inclusive com seu IP.

O Tecnoblog dá mais detalhes sobre esta tremenda orelhada da Grisoft.

Greg Sherwood e Marc McIntyre acabam de lançar um projeto que pode ser bastante interessante para segurança em desenvolvimento de aplicações que usem php e Javascript. Uma das práticas adotadas quando implementamos segurança no processo de desenvolvimento de software é criar uma cartilha de boas práticas de desenvolvimento, não é a solução para todos os problemas mas pode ajudar em escrever código melhor.

A ferramenta promete comparar o código escrito com uma política previamente estabelecida, ou seja, você determina que todo o código desenvolvido não pode usar a função eval() e quando você rodar o PHP_CodeSniffer ele irá apontar a utilização desta função.

É apenas uma Análise Léxica, mas é um controle simples e que pode trazer um bom retorno no ambiente de desenvolvimento que usem php e javascript.

No Blog dos desenvolvedores do Internet Explorer está disponível uma série de posts relacionados a características de segurança do Internet Explorer 8.

IE8 and Trustworthy Browsing

IE8 Security Part III: SmartScreen® Filter

IE8 Security Part IV: The XSS Filter

IE8 Security Part V: Comprehensive Protection

Algumas características que eu achei bastante interessantes são relacionadas ao Safer Mashups.

É cada vez mais comum o consumo de funções de outros sites na internet, para se ter uma idéia vejam o número de widgets, API disponíveis no site ProgrammableWeb.

A solução usa o recurso de isolamento do DOM para mitigar o risco da aplicação estar consumindo scripts potencialmente perigosos de outros sites. Além do isolamento ela faz uma sanitização das tags HTML e dados serializados usando JSON. Recomendo a leitura dos posts.

Lendo este post no Log4Dev fiquei sabendo de duas fontes bastante interessantes sobre criptografia, matemática e física.

Um é o Cryptology ePrint Archive. Aqui você pode encontrar estudos, pesquisas sobre criptografia que ainda não foram patenteadas ou aceitas em congressos de criptografia.

Já no arXiv.org da Cornell University você tem acesso a estudos sobre: matemática, Ciência da Computação, Física, Biologia e Estatística.

Após o estabelecimento da Resolução 3.380 do BACEN, muitas instituições financeiras de pequeno e médio porte tiveram que estabelecer uma estrutura de gestão de risco operacional. O que é um diferencial de negócio nas grandes instituições se tornou dor de cabeça nas pequenas e médias.

Vários projetos foram desenvolvidos para se alcançar a conformidade com a resolução. Muitos destes projetos foram de Continuidade de Negócios. Eu tive a oportunidade de trabalhar em alguns destes projetos e consequentemente estudar bastante sobre risco operacional.

O objetivo deste post é esclarecer um equívoco que esta sendo cometido relacionado a métodos de alocação de capital. Em um bom projeto de Continuidade de Negócios a BIA (Business Impact Analysis) é um dos estudos que saltam os olhos, acredito que, por este motivo muitos associaram o BIA (Business Impact Analysis) com o BIA (Basic Indicator Approach) que é um dos métodos de alocação de capital.

Segundo a Resolução 3.380 todas as instituições tem que estabelecer uma metodologia para alocação de capital, as mais utilizadas são:

• BIA (Basic Indicator Approach)
  
  Consiste no método mais simplificado e tem a seguinte fórmula: Calcula-se a média do resultado bruto nos últimos 36 meses e aplica-se o fator de 15%.

• STA (Standardized Approach)

  Este método é semelhante ao anterior mais separa os resultados em linhas de negócio da instituição financeira.

  1. Corporate Finance: 18%
  2. Retail Banking 12%
  3. Commercial Banking 15%
  4. Trading and Sales 18%
  5. Payment and Settlement 18%
  6. Agency Services 15%
  7. Asset Management 12%
  8. Retail Brokerage 12%

• ASA (Alternative Standardized Approach)

  Esse método tem abordagem semelhante ao anterior mais com foco diferenciado nas linhas Commercial e de Retail.

• AMA (Advanced Measurement Approach)

  Este método é o mais complexo e exige maturidade da instituição. Ele adota métodos qualitativos e quantitativos. A vantagem em adotar o AMA está na possibilidade de alocar menos capital para risco operacional.

Não sou nenhum especialista no mercado financeiro, a idéia é tentar esclarecer este equívoco entre os profissionais que nunca passaram por esta situação. Uma boa fonte para quem deseja se aprofundar é o próprio site do Banco Central.