David LeBlanc, um dos autores de Escrevendo Código Seguro e atualmente um dos responsáveis pela segurança do Microsoft Office, iniciou o seu próprio blog . Ele se junta a Michael Howard e Adam Shostack na lista de blogs voltados para desenvolvimento de...

Em um chopp ontem com alguns amigos, nós não conseguimos concordar no que seria mais "cara de pau": ■ Um dono de Mac e iPod falando de DRM. ■ Um usuário do GMail falando de privacidade. ■ Um consultor da Microsoft falando de segurança. ...

Whenever I see a project description, I pay close attention to the section titled "What we don't do." That tells me how serious they are about shipping. And if there isn't a "What we don't do" section at all, I sigh quietly, since that tells me that they...

A Microsoft divulgou hoje um advisory sobre um problema na interface de gerenciamento remoto do serviço DNS, no Windows 2000 Server e no Windows Server 2003. Esta interface está sujeita a um estouro de buffer que potencialmente compromete todo o sistema...

A melhor PKI do mercado fica ainda melhor e mais completa no Windows Server "Longhorn". Algumas novidades: ■ Suporte nativo a OCSP A Autoridade Certificadora do Windows "Longhorn" suporta nativamente o protocolo OCSP para verificação online do estado...

Em janeiro de 1992 duas personalidades ilustres do campo da ciência da computação travaram uma histórica discussão pela USENET. De um lado estava o professor Andrew S. Tanembaum, que argumentava as vantagens de um sistema operacional usar uma arquitetura...

Thomas Ptacek faz uma veemente pregação contra o uso do DNSSEC . Eu sempre achei a proposta do DNSSEC de implementação complicada e com ganhos de segurança mínimos , e Ptacek defende muito bem estes pontos. Vale a leitura, mesmo se você discorde da argumentação...

Uma limitação conhecida do Active Directory é a de ele suportar somente uma única política de senhas por domínio. Ou seja, todas as contas de usuário de um domínio AD estão submetidas sempre à mesma política, e caso a organização necessitasse implementar...

Uma das melhores coisas do meu trabalho é que eu estou constantemente trabalhando com clientes. Nadamelhor do que estar com gente que usa os nossos produtos no dia a dia para aprender e obter feedback sobre como a Microsoft deveria agir e como poderíamos...

O Active Directory (AD) é normalmente o coração de uma rede Windows. No AD estão armazenadas todas as contas de usuário, senhas e políticas de grupo utilizadas pelos servidores e estações, e a segurança de todos estes sistemas dependem fundamentalmente...

Trust, but verify - Ronald Reagan "Conformidade" parece ser a palavra de ordem hoje em dia em SI. Finalmente boa parte das organizações acordou para o fato de que é um exercício inútil analisar riscos, e estabelecer políticas e normas, se ninguém verifica...

Redes privadas virtuais (VPNs) são hoje a principal forma de acesso remoto em uso nas organizações. Funcionários e parceiros usam regularmente VPNs para acessar recursos da rede da empresa, e as linhas de acesso discado já foram em grande parte relegadas...

O Windows Vista é normalmente tratado como sendo o grande lançamento do ano da Microsoft, e em termos de impacto na vida do usuário pessoal - e no balanço financeiro da Microsoft - ele é mesmo. Mas para nós que trabalhamos no mundo corporativo o produto...

Na quarta-feira passada (28/03) a McAfee reportou uma vulnerabilidade crítica no tratamento de cursores animados (ANI) do Windows, que permite que atacantes possam executar código malicioso em PCs com os sistemas operacionais Windows 2000, XP, 2003 e...

Dois anos depois da primeira versão , o documento descrevendo sobre como implementar o serviço de logon na rede usando certificados ICP-Brasil foi revisto e ampliado. Além de algumas outras mudanças de cunho cosmético, a principal novidade é o recurso...

Na minha opinião extremamente parcial, esta imagem é a melhor parte do relatório da Symantec :

Foi gratificante ler no último Internet Security Threat Report , publicado semestralmente pela Symantec, que o Windows foi dos sistemas pesquisados o que teve o menor número de vulnerabilidades e o que teve maior velocidade na preparação dos patches....

A maior parte do meu trabalho nos últimos tempos tem sido em projetos de Infraestrutura de Chaves Públicas (PKI), incluindo projetos de identidade eletrônica (eID) em outros países. E por ver de perto o trabalho de outros países em implementar PKIs nacionais...

Fiquei estes últimos dias com um post pronto revisitando segurança com virtualização e todas as possibilidades que a nova geração de softwares de virtualização e de hardware podem nos fornecer em termos de segurança, mas algumas informações que eu pretendo...

Em um post anterior nós vimos aqui como uma interface Firewire ou PCMCIA pode ser usada para comprometer um sistema. Para recapitular, essas interfaces estão ligadas ao sistema via expansion bus , e podem acessar diretamente qualquer outro dispositivo...

Em uma palestra aqui na Microsoft alguns anos atrás, David LeBlanc disse que ele achava anti-ético usar engenharia social nos testes de penetração que ele conduzia. "Usando engenharia social fica muito fácil", disse ele. "É como roubar no jogo. Perde...

"Fronteira de segurança" (ou security boundary ) é alguma barreira pela qual código ou acesso não podem passar sem a autorização explícita de uma política de segurança. Por exemplo, no mundo do Active Directory a floresta é uma fronteira de segurança...

Law #3 - If a bad guy has unrestricted physical access to your computer, it's not your computer anymore. Ao fazer análise de riscos ou definir uma estratégia de segurança, a maioria de nós foi treinada para assumir que o hardware é confiável. Afinal...

Personally Identifiable Information (ou PII) é definido como sendo qualquer informação que potencialmente possa ser usada para identificar unicamente, contactar ou localizar uma pessoa. A Microsoft segue regras estritas em relação ao uso de PII, e por...

Em um raro caso onde a instituição atacada vem a público, o banco sueco Nordea reportou que os seus clientes foram atacados por trojans enviados por e-mail aos seus clientes, causando prejuízo estimado em oito milhões de krona - oitocentos mil dólares...