Attention / Atenção


This blog represents my own view points and not of my employer, Amazon Web Services

Este blog representa meus próprios pontos de vista e não do meu empregador, Amazon Web Services

quarta-feira, julho 09, 2014

4 anos depois... ...

Praticamente quatro anos sem publicar no Blog, sinceramente achei que nem lembrava mais da senha :).

Muitas coisas me fizeram "esquecer" um pouco do blog nesses 4 anos, na verdade não deixei de escrever diretamente mas deixei de publicar algumas coisas e nesses 4 anos muitas coisas aconteceram, troca de emprego, voltei a dar aula (isso foi e está sendo muito bom), voltar a ver amigos em Jundiaí, voltar a andar de moto (nem tanto, mas já é mais que nada kkkkk) até casei (Thai te amo).

No entanto espero agora voltar a publicar com mais frequência, sinceramente não sei quantas pessoas acompanhavam ou acompanham o blog, mas de qualquer forma o objetivo aqui não é ser TOP of  MIND em acessos, afinal quem me conhece sabe que "palco" nunca foi e nem será o objetivo.

O objetivo como sempre será compartilhar os artigos que leio, pensamentos e idéias das madrugadas adentro sempre divertidas, afinal depois que a esposa cai no sono eu continuo muitas vezes estudando, lendo e "testando"coisas. Thais obrigado por suportar a luz no rosto e o toc toc toc do teclado :), te amo por isso e por muitas outras razões, mas essa é uma delas kkkkk.

Como parte do processo de retomada gostaria hoje de compartilhar uma ferramenta que estou começando a "brincar".

Todas as pessoas que alguma vez tiveram que tratar algum incidente de segurança computacional sabem que um dos grandes desafios (entre muitos) é o de avaliar em tempo real diversas máquinas, ou seja, se encontramos um "artefato", ou se precisamos coletar diversos "artefatos" em uma rede de diversas máquinas, como podemos fazer ? Como avaliar se outras máquinas tem o mesmo comportamento ?

É fato que no mercado existe muitas ferramentas excelentes que nos permitem uma análise forense em tempo real remotamente (FTK, Mandiant, Encase, etc) mas existe algo Open Source que poderia ser utilizado ? A resposta é sim existe :).

Preparando a minha agenda para o evento da Blackhat desse ano (pretendo compartilhar com todos os resultados colhidos nessa empreitada) me deparei com a seguinte ferramenta.

GRR Rapid Response is an Incident Response Framework


Essa ferramenta criada por Engenheiros do Google é muito interessante, ainda não efetuei todos os testes, mas pelo que andei lendo e assistindo parece realmente muito promissora.

Paper que explica um pouco a solução.



Vídeo (a partir do minuto 41 se demonstra o GRR).



Impressionante como o Google tem Engenheiros de Segurança capacitados a criar ferramentas tão interessantes como essa , como outro bom exemplo, o Volatility.




Para pensarmos:
Em um ambiente de Datacenter tão grande como o do Google com certeza é desafiador garantir a segurança do ambiente e em alguns casos adquirir soluções de "mercado" pode ser proibitivo em virtude do volume de máquinas, usuários e do tamanho do ambiente, ou seja, preço praticamente inviável (mesmo para o Super Google).

Além disso considerando o material humano (massa cinzenta) de Engenheiros que o Google possui talvez realmente seja muito mais interessante desenvolver soluções que atendem as necessidades de Segurança do Google, pois além de atender as suas necessidades provavelmente com menor custo (bom ponto a ser discutido) ainda podem compartilhar com a comunidade e quem sabe no futuro isso pode ainda virar um produto "Google".

Comentários ? (se é que alguém ainda lê o blog :) )

Um abraço e até breve.

Nenhum comentário: