Peço a vossa atenção para a seguinte chamada para um workshop internacional sobre Segurança Informática (tolerância a intrusões) que se vai realizar no próximo dia 29 de Junho no Estoril junto da 39ª IEEE/IFIP International Conference on Dependable Systems and Networks (DSN). O prazo de submissão de artigos e resumos extendidos é o próximo dia 16 de Março.
CALL FOR PAPERS
3rd Workshop on Recent Advances on Intrusion-Tolerant Systems
WRAITS 20089
In conjunction with The 39th IEEE/IFIP International Conference on Dependable Systems and Networks - DSN 2009
June 29, 2009
Estoril, Lisbon, Portugal
http://wraits09.di.fc.ul.pt/
OVERVIEW
The 3rd Workshop on Recent Advances on Intrusion-Tolerant Systems aims to foster the understanding of and collaborative discourse on the challenges of building intrusion tolerant systems and innovative ideas to address them. As a technical area, Intrusion Tolerance is at the intersection of Fault Tolerance and Security. As a practical discipline, it brings in additional topics ranging from software engineering, adaptive system development to reasoning, coordination and control of distributed resources and mechanisms, as well as validation and evaluation of security and survivability claims. The workshop will be especially interested in "practical intrusion-tolerant systems": How are threats to business- and mission-critical information systems handled today? Are emerging intrusion tolerance techniques being used? What mechanisms are finding more use and why? What factors may be discouraging mainstream adoption? How to build information systems that are inherently resilient to intrusions? What new techniques are in the horizon? How to evaluate and test the dependability and security of new techniques? The workshop will provide a forum for researchers and practitioners to present architectures for intrusion-tolerant systems, new defense mechanisms, recent results, discuss open problems that still need research, and survivability challenge problems in specific application and domain areas.
Authors are invited to submit papers to the workshop, which will be held in conjunction with the 39th IEEE/IFIP International Conference on Dependable Systems and Networks (DSN), June 29 - July 2, 2009. Papers can present ongoing work and/or speculative/futuristic ideas. Experimental results or other forms of validation are especially encouraged. The workshop papers will be published in a supplementary volume of the conference proceedings.
TOPICS
Topics of interest related to intrusion tolerance (IT) include, but are not limited to:
* automatic recovery and response techniques
* hardware and software virtualization for IT
* leveraging social computing networks for resiliency
* threat of botnet herds and surviving them
* survivability and information assurance in the Cloud
* use of Byzantine fault-tolerant algorithms in IT
* biologically inspired defenses
* diversity and failure independence
* evaluation of IT systems
* theoretical limits of IT
* real world case studies
More information about the workshop can be obtained by emailing to wraits09_AT_di.fc.ul.pt
SUBMISSION INSTRUCTIONS
The workshop will accept two formats of papers: regular papers (maximum 5 pages) and position papers (maximum 2 pages). Position papers allow researchers to present more speculative/futuristic ideas to stimulate discussion and further work. Papers have to adhere to the IEEE Computer Society camera-ready 8.5"x11" two-column camera-ready format, like regular DSN papers. Instructions about how to submit papers can be found on the web site: http://wraits09.di.fc.ul.pt/ . More information about the workshop can be obtained by email to the same address.
At least one author of an accepted paper must register at the conference and present the paper at the workshop.
IMPORTANT DATES
Submission deadline: March 16, 2009
Author notification: April 20, 2009
Final version: May 11, 2009
WORKSHOP ORGANIZERS
Saurabh Bagchi, Purdue University, USA
Miguel Correia, University of Lisboa, Portugal
Partha Pal, BBN Technologies, USA
PROGRAM COMMITTEE
Aditya Bagchi, ISI, India
Manuel Costa, Microsoft Research, UK
Jay Lala, Raytheon, USA
Peng Liu, PSU, USA
Patrick Kreidl, MIT, USA
Dipanwita Roychowdhury, IIT Kharagpur, India
William H. Sanders, UIUC, USA
Paulo Verissimo, U. Lisbon, Portugal
Clonagem de tags RFID é uma ameaça real
A clonagem de tags RFID é cada vez mais fácil e barata. Parece que com menos de 200 euros se consegue construir um dispositivo capaz de clonar tags RFID a 9 metros de distância. Para quem já tem o cartão de cidadão ou outros documentos RFIDizados, fica aqui um conselho: comprem uma carteira de chumbo!
Vejam a história toda em:
http://www.securityfocus.com/news/11544?ref=rss
Vejam a história toda em:
http://www.securityfocus.com/news/11544?ref=rss
privacidade?
duas notícias interessantes no Público:
Governo aprova instalação de “chip” electrónico em automóveis
"A partir de agora todos os veículos automóveis ligeiros ou pesados, seus reboques, motociclos ou triciclos terão de instalar obrigatoriamente o polémico dispositivo electrónico de matrícula, conhecido como “chip”, e através do qual será possível fazer os pagamentos das portagens. “Este dispositivo permite a detecção e identificação electrónica de todos os veículos para efeitos de cobrança electrónica de portagens em conformidade com o Serviço Electrónico Europeu de Portagem”, lê-se no comunicado do Conselho de Ministros."
O texto do comunicado do Conselho de Ministros:
Google is watching you
"Depois do Google Earth ir ao fundo dos oceanos, chega agora a vez do Google Latitude localizar geograficamente os nossos contactos através do telemóvel.
(...)
O objectivo é poder localizar as pessoas onde quer que estejam e localizá-las no Google Maps (serviço de mapas). A partir daí, pode dar-se indicações à pessoa localizada, seguir os seus passos ou, simplesmente, convidá-la para almoçar se virmos que ela está perto do sítio onde estamos."
Governo aprova instalação de “chip” electrónico em automóveis
"A partir de agora todos os veículos automóveis ligeiros ou pesados, seus reboques, motociclos ou triciclos terão de instalar obrigatoriamente o polémico dispositivo electrónico de matrícula, conhecido como “chip”, e através do qual será possível fazer os pagamentos das portagens. “Este dispositivo permite a detecção e identificação electrónica de todos os veículos para efeitos de cobrança electrónica de portagens em conformidade com o Serviço Electrónico Europeu de Portagem”, lê-se no comunicado do Conselho de Ministros."
O texto do comunicado do Conselho de Ministros:
"5. Decreto-Lei que, no uso da autorização legislativa concedida pela Lei n.º 60/2008, de 16 de Setembro, procede à segunda alteração do Decreto-Lei n.º 54/2005, de 3 de Março, que aprova o Regulamento da Matrícula dos Automóveis, Seus Reboques, Motociclos, Ciclomotores, Triciclos, Quadriciclos, Máquinas Industriais e Máquinas Industriais Rebocáveis, e estabelece a instalação obrigatória de um dispositivo electrónico de matrícula em todos os veículos automóveis, ligeiros e pesados, seus reboques, e motociclos, bem como triciclos autorizados a circular em infra-estruturas rodoviárias onde seja devido o pagamento de taxa de portagem
Este Decreto-Lei vem estabelecer a obrigatoriedade de instalação de um dispositivo electrónico de matrícula (DEM) em todos os veículos automóveis, ligeiros e pesados, e seus reboques, motociclos, bem como triciclos autorizados a circular em auto-estradas e vias equiparadas. Este dispositivo permite a detecção e identificação electrónica de todos os veículos para efeitos de cobrança electrónica de portagens em conformidade com o Serviço Electrónico Europeu de Portagem.
Os sistemas de portagem electrónica reduzirão significativamente as transacções em numerário, promovendo o descongestionamento nas praças de portagem, com a consequente diminuição do impacto ambiental negativo que decorre da existência de veículos em espera e do arranque dos mesmos. Contribuirão igualmente para o aumento da segurança rodoviária.
A salvaguarda do direito à privacidade dos proprietários e/ou condutores e a protecção dos respectivos dados pessoais não são postas em causa com este sistema, uma vez que o DEM apenas transmite um código e não qualquer elemento de identidade dos proprietários e/ou condutores. Por seu turno, os equipamentos de detecção electrónica de veículos são dotados de um alcance meramente local, não permitindo um acompanhamento permanente dos veículos em circulação."
Fantástica a justificação ecológica. A Brisa também agradece que o governo centralize a Via Verde.Google is watching you
"Depois do Google Earth ir ao fundo dos oceanos, chega agora a vez do Google Latitude localizar geograficamente os nossos contactos através do telemóvel.
(...)
O objectivo é poder localizar as pessoas onde quer que estejam e localizá-las no Google Maps (serviço de mapas). A partir daí, pode dar-se indicações à pessoa localizada, seguir os seus passos ou, simplesmente, convidá-la para almoçar se virmos que ela está perto do sítio onde estamos."
Supercomputadores
dá que pensar:
"Há muitas maneiras de avaliar a capacidade científica e tecnológica de um país. Ver onde estão os mais rápidos supercomputadores do mundo é uma delas. Estes computadores, com as suas enormes capacidades de simulação são um importante motor económico e um instrumento de inovação científica e tecnológica. Onde é que eles estão? Nove dos dez mais poderosos supercomputadores mundiais estão nos EUA. Destes nove, sete pertencem ao Departamento de Energia americano. O décimo supercomputador mundial está na China. Se percorrermos a lista dos quinhentos supercomputadores mais rápidos do mundo vemos que a China tem quinze destas máquinas. Os países europeus estão bem representados na lista dos quinhentos supercomputadores mundiais. Portugal não figura na lista."
Miguel Monjardino, Expresso, Dez 2008
artigo completo
"Há muitas maneiras de avaliar a capacidade científica e tecnológica de um país. Ver onde estão os mais rápidos supercomputadores do mundo é uma delas. Estes computadores, com as suas enormes capacidades de simulação são um importante motor económico e um instrumento de inovação científica e tecnológica. Onde é que eles estão? Nove dos dez mais poderosos supercomputadores mundiais estão nos EUA. Destes nove, sete pertencem ao Departamento de Energia americano. O décimo supercomputador mundial está na China. Se percorrermos a lista dos quinhentos supercomputadores mais rápidos do mundo vemos que a China tem quinze destas máquinas. Os países europeus estão bem representados na lista dos quinhentos supercomputadores mundiais. Portugal não figura na lista."
Miguel Monjardino, Expresso, Dez 2008
artigo completo
Windows 7
A ArsTechnica publicou um interessante artigo sobre o Windows 7 a propósito da aparente pressa na sua publicação. O artigo é interessante como um todo mas sob o ponto de vista da segurança há um aspecto interessante: a recolha de estatísticas em runtime ("telemetria") com vista à medição da qualidade do software. Um excerto:
One of the most important changes to its development process is the gathering of telemetry data. The first internal milestone of Windows 7 was milestone MQ, the quality milestone, and this build added facilities to collect extensive data about compatibility issues, crashes, hangs, and system performance. This data allowed Microsoft both to determine where problems lay and assess the efficacy of fixes for those issues. Every subsequent build of Windows 7 collected this data, giving the developers extensive and detailed information about how well the OS works. Microsoft knows far more about what works and what doesn't in Windows 7 at an earlier stage in its life than it did about any prior Windows release.
(...)
As a result of all the data and knowledge that has been gathered, the Windows 7 team knows how good the software is. For earlier versions of Windows, a lot of this data would have to come from end-users and bug reports. Not all of it—older versions do have some telemetry courtesy of the Customer Experience Improvement Program (CEIP)—but a lot. This means in turn that the beta program doesn't have as much work to do; instead of shipping a release that probably does works OK and then finding out from users if it does or not, Microsoft can ship a release that does work OK and just needs some fine tuning.
One of the most important changes to its development process is the gathering of telemetry data. The first internal milestone of Windows 7 was milestone MQ, the quality milestone, and this build added facilities to collect extensive data about compatibility issues, crashes, hangs, and system performance. This data allowed Microsoft both to determine where problems lay and assess the efficacy of fixes for those issues. Every subsequent build of Windows 7 collected this data, giving the developers extensive and detailed information about how well the OS works. Microsoft knows far more about what works and what doesn't in Windows 7 at an earlier stage in its life than it did about any prior Windows release.
(...)
As a result of all the data and knowledge that has been gathered, the Windows 7 team knows how good the software is. For earlier versions of Windows, a lot of this data would have to come from end-users and bug reports. Not all of it—older versions do have some telemetry courtesy of the Customer Experience Improvement Program (CEIP)—but a lot. This means in turn that the beta program doesn't have as much work to do; instead of shipping a release that probably does works OK and then finding out from users if it does or not, Microsoft can ship a release that does work OK and just needs some fine tuning.
MAMA mia!
do blog omg.wtf.bbq. (Opera’s MAMA - Scanning the structural web):
What could be better than Google Code Search for finding vulnerabilities? Look at MAMA. (...) What could you do with MAMA? Just off the top of my head, anything an appscanner could find without stateful context. Simple queries could produce a lot of noise, but could be optimized greatly with correlating conditions and keywords. Some quick thoughts, and who knows, maybe Johnny Long can do a few of these things already:
Enter MAMA—the "Metadata Analysis and Mining Application". MAMA is a structural Web-page search engine—it trawls Web pages and returns results detailing page structures, including what HTML, CSS, and script is used on it, as well as whether the HTML validates. In this document, and the ones that link from it, you'll find data that has been pulled from MAMA so far. There is a lot of information here, but every effort has been made to keep it readable and interesting for the various types of people who might be interested in such data.
What could be better than Google Code Search for finding vulnerabilities? Look at MAMA. (...) What could you do with MAMA? Just off the top of my head, anything an appscanner could find without stateful context. Simple queries could produce a lot of noise, but could be optimized greatly with correlating conditions and keywords. Some quick thoughts, and who knows, maybe Johnny Long can do a few of these things already:
- DOM-based XSS vulnerabilities
- CSRF (forms without a token >20 bytes of seemingly random stuff)
- CAPTCHA-less comment forms (hello targeted, optimized spam!)
- hidden administration login pages (already kind of doable with Google)
- clickjackable sites (absence of frame breaking code)
- interesting HTML comments (HACK, FIXME, TODO are usually good ones)
- insecurely implemented postMessage() senders or listeners
- insecure password policies
- suspiciously named hidden fields
- meta tags with incorrectly spelled charsets (for followup exploitation with content sniffing and utf-7)
Enter MAMA—the "Metadata Analysis and Mining Application". MAMA is a structural Web-page search engine—it trawls Web pages and returns results detailing page structures, including what HTML, CSS, and script is used on it, as well as whether the HTML validates. In this document, and the ones that link from it, you'll find data that has been pulled from MAMA so far. There is a lot of information here, but every effort has been made to keep it readable and interesting for the various types of people who might be interested in such data.
GPS spoofing
GPS Spoofing
GPS and Wall Street
"For less than $1,000 of off-the-shelf equipment which fits in the trunk of a car, anyone can forge GPS timestamps. If you’re within a half mile or so of a GPS receiver that is used by the financial industry, you could cause major meltdowns that would be difficult, if not impossible, to trace."
GPS and Wall Street
"For less than $1,000 of off-the-shelf equipment which fits in the trunk of a car, anyone can forge GPS timestamps. If you’re within a half mile or so of a GPS receiver that is used by the financial industry, you could cause major meltdowns that would be difficult, if not impossible, to trace."
Entrevista com um autor de Adware
Uma entrevista muito interessante com Matt Knox, ex-programador de Adware:
Interview with an Adware Author
em philosecurity
Interview with an Adware Author
em philosecurity
Secure Coding initiative
do CERT:"Easily avoided software defects are a primary cause of commonly exploited software vulnerabilities. The CERT/CC has observed, through an analysis of thousands of vulnerability reports, that most vulnerabilities stem from a relatively small number of common programming errors. By identifying insecure coding practices and developing secure alternatives, software developers can take practical steps to reduce or eliminate vulnerabilities before deployment.
The CERT Secure Coding Initiative works with software developers and software development organizations to reduce vulnerabilities resulting from coding errors before they are deployed. We work to identify common programming errors that lead to software vulnerabilities, establish standard secure coding standards, educate software developers, and to advance the state of the practice in secure coding."
Subscribe to:
Posts (Atom)