Attention / Atenção


This blog represents my own view points and not of my employer, Amazon Web Services

Este blog representa meus próprios pontos de vista e não do meu empregador, Amazon Web Services

sexta-feira, julho 11, 2014

Laboratório Experimental - Cyber defesa

Ao lado convite enviado hoje para os alunos interessados no Curso de Pós Graduação em Segurança da Faculdade de Jaguariúna (FAJ).

Trata-se de um laboratório para que os alunos interessados possam conhecer melhor o conteúdo do curso, uma vez que o laboratório de simulação de Cyber Defesa considera a criação de 2 ou 3 Grupos que deverão proteger um ambiente tecnológico sobre ataque, mitigando os problemas e fazendo análise forense do incidente durante o período do laboratório.

Todo o laboratório é realizado em ambiente controlado e em escala reduzida, com máquinas físicas, virtuais e também com ataques previamente agendados para ocorrerem em um dia "normal" de operação do ambiente simulado.

Durante o dia "normal" de operação do ambiente são simulados ataques de DDoS, Phishing e máquinas infectadas de usuários com Malwares e Backdoors, tudo executado em ambiente controlado e limitado para evitarmos maiores surpresas :).

No decorrer do laboratório os Grupos devem reportar periodicamente (a cada 30 minutos) as evoluções do trabalho e adicionalmente durante as 8 horas de laboratório os grupos recebem pontuações a medida que vão detectando, respondendo e mitigando os ataques corretamente.

Esse laboratório foi muito bem recebido pela primeira turma a ponto de termos "repeteco" a pedido dos alunos mesmo após finalizado o curso, apenas por diversão :).


Teremos os grupos formados por alunos da primeira turma e alunos da segunda turma, onde os alunos da primeira turma poderão aplicar novamente todos os conhecimentos obtidos em 18 meses de curso e também se integrar com os alunos da segunda turma. Além disso os alunos da segunda turma poderão obter uma "pitada" dos desafios que os aguardam  :)

Ressalto que a Turma-01 foi sensacional, parabéns a todos, o dia 14 de junho me fez realmente lembrar como é bom dar aula para turmas dedicadas, interessadas e reduzidas, onde podemos nos aprofundar ainda mais nos temas técnicos e extrapolar o nível de discussão. Abaixo o placar final dos 3 Grupos que participaram do desafio.


Pessoal dia 26 temos repeteco :).

Ua
Zillo




At.
Marcello Zillo Neto

Relatório APWG

Publicado relatório Phishing Activity Trends Report - APWG - 1 Quarter de 2014.

http://docs.apwg.org/reports/apwg_trends_report_q1_2014.pdf




quarta-feira, julho 09, 2014

4 anos depois... ...

Praticamente quatro anos sem publicar no Blog, sinceramente achei que nem lembrava mais da senha :).

Muitas coisas me fizeram "esquecer" um pouco do blog nesses 4 anos, na verdade não deixei de escrever diretamente mas deixei de publicar algumas coisas e nesses 4 anos muitas coisas aconteceram, troca de emprego, voltei a dar aula (isso foi e está sendo muito bom), voltar a ver amigos em Jundiaí, voltar a andar de moto (nem tanto, mas já é mais que nada kkkkk) até casei (Thai te amo).

No entanto espero agora voltar a publicar com mais frequência, sinceramente não sei quantas pessoas acompanhavam ou acompanham o blog, mas de qualquer forma o objetivo aqui não é ser TOP of  MIND em acessos, afinal quem me conhece sabe que "palco" nunca foi e nem será o objetivo.

O objetivo como sempre será compartilhar os artigos que leio, pensamentos e idéias das madrugadas adentro sempre divertidas, afinal depois que a esposa cai no sono eu continuo muitas vezes estudando, lendo e "testando"coisas. Thais obrigado por suportar a luz no rosto e o toc toc toc do teclado :), te amo por isso e por muitas outras razões, mas essa é uma delas kkkkk.

Como parte do processo de retomada gostaria hoje de compartilhar uma ferramenta que estou começando a "brincar".

Todas as pessoas que alguma vez tiveram que tratar algum incidente de segurança computacional sabem que um dos grandes desafios (entre muitos) é o de avaliar em tempo real diversas máquinas, ou seja, se encontramos um "artefato", ou se precisamos coletar diversos "artefatos" em uma rede de diversas máquinas, como podemos fazer ? Como avaliar se outras máquinas tem o mesmo comportamento ?

É fato que no mercado existe muitas ferramentas excelentes que nos permitem uma análise forense em tempo real remotamente (FTK, Mandiant, Encase, etc) mas existe algo Open Source que poderia ser utilizado ? A resposta é sim existe :).

Preparando a minha agenda para o evento da Blackhat desse ano (pretendo compartilhar com todos os resultados colhidos nessa empreitada) me deparei com a seguinte ferramenta.

GRR Rapid Response is an Incident Response Framework


Essa ferramenta criada por Engenheiros do Google é muito interessante, ainda não efetuei todos os testes, mas pelo que andei lendo e assistindo parece realmente muito promissora.

Paper que explica um pouco a solução.



Vídeo (a partir do minuto 41 se demonstra o GRR).



Impressionante como o Google tem Engenheiros de Segurança capacitados a criar ferramentas tão interessantes como essa , como outro bom exemplo, o Volatility.




Para pensarmos:
Em um ambiente de Datacenter tão grande como o do Google com certeza é desafiador garantir a segurança do ambiente e em alguns casos adquirir soluções de "mercado" pode ser proibitivo em virtude do volume de máquinas, usuários e do tamanho do ambiente, ou seja, preço praticamente inviável (mesmo para o Super Google).

Além disso considerando o material humano (massa cinzenta) de Engenheiros que o Google possui talvez realmente seja muito mais interessante desenvolver soluções que atendem as necessidades de Segurança do Google, pois além de atender as suas necessidades provavelmente com menor custo (bom ponto a ser discutido) ainda podem compartilhar com a comunidade e quem sabe no futuro isso pode ainda virar um produto "Google".

Comentários ? (se é que alguém ainda lê o blog :) )

Um abraço e até breve.