Common Criteria e Softwares Seguros

Em um post bem antigo, mas curiosamente ainda muitíssimo acessado, eu descrevi como a equipe em que eu trabalho (que tem o imodesto nome de Security Center of Excellence) faz entrevistas de candidatos para posições na área de segurança da Microsoft. O nosso ponto principal é que perguntas técnicas supostamente básicas, como por exemplo “descreva como…

1

Novo Blog de Segurança da Microsoft

Dentro da Microsoft, o SWI (abreviatura do seu nome original, Secure Windows Initiative) é o grupo dentro do time de produto que reúne os especialistas em desenvolvimento de código seguro, revisão de código e testes de penetração. Trabalham no SWI nomes conhecidos como Michael Howard, James Whittaker, Adam Shostack, os poloneses do LSD que descobriram…

2

FAQ: o Certificado de Site da ICP-Brasil Não é Confiável

De vez em quando nós recebemos aqui na Microsoft pedidos de ajuda de organizações que estão usando certificados digitais da ICP-Brasil nos seus sites Web, reportando que alguns (ou quase todos) os usuários estão recebendo a informação que o certificado digital não é confiável. “Mas a Microsoft não distribui o certificado da ICP-Brasil para o Windows?” Sim,…

1

Novidades de Seguranca do Windows XP Service Pack 3

A Microsoft divulgou esta semana a versão beta final (“Release Candidate”) do Service Pack 1 do Windows Vista e do Service Pack 3 do Windows XP, o que permite que você possa testar e avaliar estas atualizações antes que a versão final seja lançada no início do ano que vem. Como já comentei aqui as novidades em…

4

"Pingos nos Is" sobre Open XML e ODF

Meu colega Raimundo Costa iniciou um blog sobre formatos abertos de documentos,  tratando de padrões como o PDF, o Open XML e o ODF, com maior destaque nestes dois últimos. O Raimundo é o representante da Microsoft no grupo de trabalho da ABNT que discute o assunto, e no seu blog defende a que o usuário liberdade…

25

Assinador Digital de Documentos Open XML

Uma das vantagens do formato aberto de documentos Open XML, usado pelo Microsoft Office e suportado pela maioria das outras aplicações de escritório, é incluir o uso de assinaturas digitais para garantir a procedência e a integridade dos documentos, usando certificados digitais como os emitidos pela PKI da própria organização ou pela ICP-Brasil. A combinação de um…

3

Não Prendam o Professor!

Na última reunião do GT de Segurança do Comitê Gestor da Internet no Brasil, a equipe do professor Antônio Montes apresentou uma palestra sobre o uso de honeynets para detectar e analisar botnets. A apresentação é o resumo de um trabalho de pesquisa excepcional: os pesquisadores do CENPRA capturaram um bot instalado por atacante em seus sistemas, fizeram…

2

Guia de Conformidade com o Padrão PCI DSS

O PCI (Payment Card Industry) Security Standards Council é uma organização que reúne as principais operadoras de cartão de crédito para definir os padrões de segurança adotados na proteção dos dados dos clientes. O principal produto desta organização foi o PCI Data Security Standard (PCI DSS), um conjunto de requisitos de segurança que devem obrigatoriamente ser seguidos por…

0

Gerência de Riscos Não É Dizer "Não"

“Não, eu não vou abrir a porta 445 para a sua aplicação! Essa porta é inseguuuuraa!” A recente série de tiras do Dilbert sobre segurança da informação (essa sobre biometria é espetacular) retrata como os profissionais de segurança são vistos em muitas organizações: como um chato que impede as pessoas de trabalhar. Adam Shostack fala sobre o mesmo assunto aqui,…

4

Quem Disse Isso?

Teste fácil: quem são os autores dessas duas frases abaixo? Ambas são recentes. 1.  “DRM causes too much pain to legitimate buyers. People should just buy a CD and rip it. You are legal then.” 2. “Two years ago, a thorough study found that the kernel Linux infringed 283 different software patents, and that’s just in the US….

2