Latest Entries »
O Open Web Application Security Project (OWASP) é uma comunidade aberta dedicada a capacitar as organizações para conceberem, desenvolverem, adquirirem, operarem e manterem aplicações confiáveis.
A comunidade OWASP inclui corporações, organizações educacionais e indivíduos de todo o mundo que trabalham na criação de artigos, metodologias, documentação, ferramentas e tecnologias disponíveis de forma livre e aberta.
Nesta senda, o OWASP Top Ten Project produz anualmente o OWASP Top Ten, um documento onde são descritas as vulnerabilidades mais críticas identificadas com frequência nas aplicações web, orientando-nos como encontrá-las e o que fazer para protegermo-nos delas.
No Top 10 de 2010 foram contempladas as seguintes ameaças:
1 – Injecção
As falhas de injecção, tais como injecção de SQL, de S.O. e de LDAP, ocorrem quando dados não confiáveis são enviados para um interpretador como parte de um comando ou consulta. Os dados do ataque hostil pode iludir o interpretador para que este possa executar comandos não desejáveis ou aceder a dados não autorizados.
2 – Cross Site Scripting (XSS)
As falhas XSS ocorrem sempre quando uma aplicação recebe dados não confiáveis e os envia para um navegador Web sem que os tenha validado ou filtrado convenientemente. O XSS permite aos atacantes a execução de scripts no navegador da vítima que podem ser usados para sequestrar informações da sessão do utilizador, alterar sítios de Web de forma perniciosa ou redireccionar o utilizador para sítios maliciosos.
3 – Quebra da Autenticação e da Gestão de Sessões
As funções de uma aplicação relacionadas com autenticação e gestão de sessões são muitas vezes implementadas de forma incorrecta, permitindo aos atacantes o de senhas, chaves, identificadores de sessão ou, ainda, explorar outras de implementação para assumirem a identidade de outro utilizador.
4 – Referência Insegura e Directa a Objectos
Uma referência directa a um objecto ocorre quando um programador expõe uma referência para um objecto interno da implementação, como um ficheiro, uma directoria ou chave de uma base de dados. Sem uma verificação de controlo de acesso ou outra protecção semelhante, os atacantes podem manipular estas referência para acederem a informação não autorizada.
5 – Cross Site Request Forgery (CSRF)
Um ataque CSRF força o navegador de uma vítima que tenha uma sessão activa a enviar um pedido HTTP forjado, o cookie da sessão bem como outras da sessão como informação de autenticação para uma aplicação Web. Esta falha permite ao atacante forçar o navegador da vítima gerar requisições que a aplicação vulnerável aceite como pedidos legítimos oriundos da vítima.
6 – Configuração Incorrecta de Segurança
A segurança depende também da existência de configurações seguras específicas definidas e usadas na aplicação, frameworks, servidor aplicacional, servidor de Web. Todas estas configurações devem ser definidas, implementadas e mantidas por que muitas vezes elas não vêm aplicadas directamente do fornecedor das mesmas. Isto inclui igualmente possuir todo o software actualizado, incluindo todas as bibliotecas de código usadas pela aplicação.
7 – Armazenamento Criptográfico Inseguro
Muitas aplicações Web não protegem devidamente dados sensíveis, tais como cartões de créditos, SSNs e credenciais de autenticação com algoritmos de cifra ou de resumo. Os atacantes podem roubar ou modificar estes dados, protegidos de forma deficiente, para realizar roubos de identidade, fraude com cartões de crédito ou outros crimes.
8 – Falha na Restrição de Acesso a URL
Muitas aplicações Web verificam os direitos de acesso a uma URL antes de mostrarem ligações e botões protegidos. No entanto, as aplicações devem realizar verificações de controlos de acesso semelhantes de cada vez que estas páginas são acedidas, caso contrário, os atacantes podem forjar URLs e aceder a estas páginas escondidas, sem qualquer controlo.
9 – Insuficiente Protecção ao Nível do Transporte
As aplicações falham frequentemente na autenticação, cifra, e protecção da confidencialidade e integridade do tráfego de rede sensível. Quando o fazem, fazem-no muitas vezes com recurso a algoritmos fracos, usam certificados inválidos ou expirados, ou não os usam correctamente.
10 – Redireccionamentos e Encaminhamentos Inválidos
As aplicações Web redireccionam e encaminham frequentemente utilizadores para outras páginas e sítios de Web, e usam dados não confiáveis para determinar as páginas de destino. Sem uma validação adequada, os atacantes podem redireccionar as vítimas para sítios de phishing ou de malware, ou usar o encaminhamento para aceder a páginas não autorizadas.
Tal como eu, muitos já devem estar cansados de receberem dos seus contactos reconhecidos aqueles emails com títulos impressionantes e com links que são verdadeiros iscos – links para sites fictícios e com conteúdos perigosos.
Para ajudarmos a alterar está situação, podemos dar uma mãozinha ao pessoal da Hotmail, indicando-lhes que a conta de email do nosso amigo foi vítima de um acesso ilícito. Para tal, temos que seleccionar o email em causa, e na barra de menus clicamos em “Marcar como“, e seleccionamos a opção “O meu amigo foi vítima de acesso ilícito“. Depois disso surgirá uma mensagem agradecendo o nosso singelo gesto para tornar o cyberspace num lugar cada vez mais seguro. 
PS. O roteiro para se alcançar o objectivo aplica-se em qualquer idioma.
1. Uma célula humana contém 75 MB de informações genéticas.
2. Um espermatozóide tem metade disso, ou seja, 37,5 MB.
3. 1 ml de sémen saudável tem aproximadamente 100 milhões de espermatozóides.
4. Uma ejaculação média dura 5 segundos e contém de 2,25 ml de sémen.
5. Ou seja, a velocidade da conexão ou “put and get out” médio de um homem saudável é de: ( 37,5 MB x 100.000.000 x 2,25 ) / 5 = 1.761.607.680. 000.000 bytes / segundo = 1,76 Terabytes / segundo.
Conclusão:
O óvulo feminino suporta um ataque de DDoSp (Distributed Denial of Service Pack) de 1,76 TB/s e só permite a passagem de 1 pacote durante sua conexão, fazendo dele o MELHOR FIREWALL DO MUNDO!
PS: Hoje é dia de festa! Soprando Velinhas, Parabéns Para Mim!;-)
Este pode ser considerado um “Fast-post” pois serei super breve nas palavras, já que tenho corrido quase que em contra-relógio para poder honrar outros compromissos. Contudo, nada de alarmismo que o dia para sacudir a poeira deste espaço esta prestes a chegar! 
Então, passando à boa-nova, informo que o domínio de busca do Google para Angola (www.google.co.ao) que inicialmente era somente em Português, agora surge com a opção para o visualizarmos em Kikongo, sendo esta uma das línguas nacionais do nosso país.
E prontos, assim é a Google!… (termino com reticências pois, pelos vistos, continuarão sempre a surpreender-nos).
Infelizmente, do meu parco conhecimento das línguas nacionais angolana, somente sei o significado de alguns termos que, no dia-a-dia, são misturados com a nossa língua oficial, e criam aquele toque único no falar dos angolanos. Um desses termos é o “Kota”, que na língua Kimbundo, significa “mais velho”.
Deste modo, neste post apresento algumas dicas e sugestões retiradas, e ligeiramente adaptadas, do excelente site Peopleware, que se propõem serem úteis para quem ensina os mais velhos a usarem computadores e a navegarem na internet.
Dica 1
A primeira vez que estiver a ensinar alguém a lidar com o computador (e aqui não se englobam só as pessoas mais velhas mas também aquelas que dizem “não percebo nada de computadores”), é importante que se ensine o mais básico e mais fácil de executar, sem se utilizar linguagem “técnica”, mas sim linguagem acessível. Há que ter em conta que, a pessoa que está a ser ensinada pode nunca ter tido a oportunidade de mexer num teclado, e não sabe o que é “enter”, “espaço” ou “delete”, entre outros. É importante informar e esclarecer tudo à pessoa, dando informações do género “Um computador funciona assim…, liga-se/desliga-se desta forma…”. Caso seja necessário, e para a pessoa poder praticar em casa, pode sempre ir tomando notas do que lhe é ensinado.
Dica 2
Para muitos de nós, os atalhos no teclado são geniais. Mas decerto que quando nos iniciámos na informática, também aprendemos uma coisa de cada vez. Por isso também se aconselha a, quando ensinarmos as pessoas mais velhas (e aqui temos que ter em atenção alguns problemas de memória que possam existir), se utilize o rato para as operações, e não os atalhos do teclado, pois podem ser mais confusos e desmotivar à aprendizagem.
Dica 3
Esta terceira dica dedica-se à prática de digitação. Isto é, nós sabemos que, se hoje escrevemos rápido no computador, isso deve-se aos muitos anos e prática que nele temos. Pois, ao ensinarmos pela primeira vez alguém, essa pessoa estará, durante alguns minutos, a escrever uma frase ou até 2/3 letras, isto porque nunca passou pela experiência. Desta formam quando estivermos a ensinar uma pessoa mais velha, ou mesmo de outra idade, devemos desafiá-la a praticar a digitação, isto é, a escrever uma frase ou duas por dia. Não devemos esquecer (pois podem haver problemas de acuidade visual), de colocar fontes grandes e o texto sempre visível, para motivar e promover à continuação da prática.
Dica 4
Depois das dicas mais básicas, chega a hora de entrar na Internet, e explicar o que é esse Mundo completamente diferente. Nesta fase pode-se começar por indicar como entrar na Internet (indicar o Icon, por exemplo), e, uma vez a navegar, mostrar alguns sites úteis (também adequados aos interesses da pessoa que está a ser ensinada), como por exemplo, sites de informação, entretenimento, desporto, culinária, pesquisa! Mas, de forma geral, é importante informar o que é a Internet, e de que forma é que, esta rede funciona.
Dica 5
Apesar de ser a última, esta dica não deixa de ser muito importante. Aconselha-se a que, quando se dedicar a ensinar alguém mais velho a lidar com computadores e Internet, os incentive à prática. É errado pensar-se que uma vez aprendido, nunca se esquece, pois com os computadores não é assim. É necessário praticar-se para se saber e não se esquecer. Então é importante que, em tempos livres, lhes peça para irem explorando coisas no computador. A instalação de serviços de conversação é também um grande motivador para passarem mais tempo no computador e irem percebendo mais a dinâmica deste.
Fonte dicas: Peopleware
