quarta-feira, 13 de maio de 2015

Playing with Sandbox: An analysis of Capsicum


Introduction



In this post we talk a little about sandbox. People that work and study software exploitation know the sandbox concept. This kind of feature when properly implemented on a system makes hard to exploit some kind of vulnerabilities, especially that involving memory corruption. In wikipedia we have a good reference about this:
"In computer security, a sandbox is a security mechanism for separating running programs. It is often used to execute untested code, or untrusted programs from unverified third parties, suppliers, untrusted users and untrusted websites. A sandbox typically provides a tightly controlled set of resources for guest programs to run in, such as scratch space on disk and memory. Network access, the ability to inspect the host system or read from input devices are usually disallowed or heavily restricted."
The sandbox is a security mechanism that separates running processes. Basically we have a process with least privileges (target) and another process with greater privileges (broker). If the process with least privileges need execute some operation that is not allowed, a request is sent to the process with greater privileges that checks whether the operation has permissions to be executed and run with return to target (process with least privilege). Sandbox normally is used to protect the application and can also be used to provide a restricted environment for execute and test some malicious binaries, one example of this is Cuckoo Sandbox that used for malware analysis.

In this post we talk about Capsicum[1], is that a kind of sandbox developed by the University of Cambridge that support several common commands of the system such as tcpdump[2], hastd, dhclient, kdump and sshd as mentioned in the website[3]. The Capsicum is a new kind of sandbox but we have support for use in the FreeBSD and Linux[4]. The first experimental version was made only for FreeBSD[5] and available since version 9.0. This sandbox add two new features to the system, called capability mode and capabilities.

Here we introduced a rapid explanation about two modes. Capability mode is the feature that enable for the developers isolate processes allowing only that some system calls execute some tasks reducing the permissions of the process. Capabilities enables a more refined control over the files and devices. This post has more focus on the capability mode.

Continue Lendo »
Postado por às Nenhum comentário:
Marcadores:

quarta-feira, 25 de março de 2015

Entenda as diferenças entre testes de aplicações dinâmicos e estáticos

No cenário atual onde vulnerabilidades e vazamentos de dados rotineiramente são notícia, as empresas devem prestar atenção especial aos seus processos de desenvolvimento de software, incorporando boas práticas de segurança em todas as suas etapas — especialmente no ponto focal deste artigo: o teste dinâmico de aplicação e o teste estático de código de software.


As análises estáticas e dinâmicas são os dois tipos mais populares de abordagem para garantia de qualidade do software — vamos usar os termos "teste" e "análise" de maneira intercambiável nesse artigo, exceto quando houver algum ponto mais específico. Esses procedimentos devem ser antecedidos por um desenvolvimento carregado de boas práticas de segurança, pois teste algum é capaz de imunizar o software contra programação pobremente executada. Os testes devem ser considerados investimentos no software, já que mobilizam profissionais e recursos, e portanto devem ser gerenciados com atenção.

Continue Lendo »
Postado por às Nenhum comentário:
Marcadores:

terça-feira, 17 de março de 2015

Quer trabalhar com segurança da informação? Temos 4 vagas abertas

A Conviso é uma empresa com foco em pesquisa e serviços de consultoria em segurança de aplicações fornecendo soluções personalizadas e inovadoras que visam proteção efetiva de recursos computacionais. Atuante no mercado desde 2008, possui em sua carteira clientes associados aos mais diversos setores produtivos na economia brasileira, governo e também no exterior.

Estamos com as seguintes vagas abertas:

2 vagas: Analistas de segurança da informação seniores

Características da vaga:
  • Para trabalhar em SP home-office ou alocado em projetos de clientes
  • Contratação CLT + Benefícios
Requisitos mínimos:
  • Fluência em inglês
  • Formação superior
Diferenciais:
  • Certificações na área
Quais os desafios?
  • Realizar revisões de código
  • Realizar testes de invasão
  • Apresentar sugestões de correções para vulnerabilidades identificadas
  • Desenvolver guias e documentação para desenvolvimento seguro de software

1 vaga: Analista de Marketing

Características da vaga:
  • Para trabalhar no escritório da Conviso em Curitiba
  • Contratação CLT + Benefícios
Requisitos mínimos:
  • Fluência em inglês
  • Formação superior
Diferenciais:
  • Fluência em Espanhol
  • Experiência no desenvolvimento de marcas internacionais
Quais os desafios?
  • Suportar e desenvolver o plano de marketing
  • Trabalhar no desenvolvimento da marca e no marketing dos produtos e serviços
  • Suportar as iniciativas da área comercial

1 vaga: Analista Administrativo

Características da vaga:
  • Para trabalhar no escritório da Conviso em Curitiba
  • Contratação CLT + Benefícios
Requisitos mínimos:
  • Fluência em inglês
  • Formação superior
Diferenciais:
  • Experiência com contabilidade de empresas S.A.
Quais os desafios?
  • Acompanhar o processo de contas a  pagar e receber
  • Cadastro de clientes e acompanhamento de contratos de clientes
  • Reporte de informações a contabilidade
  • Elaborar planilhas e relatórios gerenciais
Como aplicar para as vagas:

Envie um email com currículo para o email rh@conviso.com.br informando no assunto a vaga.
Postado por às Nenhum comentário:

Tecnologia e segurança: 4 tendências que serão parte da rotina das empresas

No mercado de tecnologia as mudanças são tão rápidas quanto a velocidade de conexão no Japão. E, junto com tantas inovações tecnológicas, os riscos associados ao mundo virtual são tão difíceis de prever quanto necessários de se prevenir. Uma pesquisa publicada recentemente pela consultoria Gartner aponta algumas tendências no ramo de segurança da informação que se tornarão rotina nas empresas nos próximos anos.


Aspectos da Internet das Coisas (IoT), a ampliação de funcionários usando seus próprios devices e técnicas de seguranças centradas no usuário final são alguns dos assuntos para os quais todos os empreendedores e profissionais da área precisam se preparar, de acordo com o estudo. Confira no post de hoje algumas dessas tendências:

Continue Lendo »
Postado por às Nenhum comentário:
Marcadores:

segunda-feira, 9 de março de 2015

Aumentando a segurança das aplicações com headers HTTP de segurança

Neste blogpost iremos abordar a utilização de alguns headers HTTP que podem aumentar a segurança das aplicações web. Mesmo com a adoção da versão 2.0 do protocolo HTTP ganhando espaço, esses headers ainda serão utilizados. Vamos discutir um pouco sobre suas características e como implementá-los.


Quais são esses headers?

Continue Lendo »
Postado por às Nenhum comentário:
Marcadores:
Assinar: Postagens (Atom)