value1

Cloudflare X Incapsula: Protegendo seu site

Cloudflare1Para começar a falar um pouco desses serviços eu vou plagiar a pergunta que muitos clientes fazem após comprar um serviço de hospedagem meu, “como me previno de ataques hackers ao meu site?”. Bom, essa pergunta não é fácil de ser respondida, pois há em jogo uma série de fatores e também depende de uma coisa muito importante, você prefere se prevenir ou corrigir o problema?

 

Vamos por partes. Existem empresas que oferecem serviços de detecção e correção de falhas (Sucuri.net) e outras que oferecem prevenção, tenha na cabeça uma coisa… Se você sabe que seu sistema está vulnerável e apenas previne, está simplesmente empurrando a poeira para debaixo do tapete.

Sabendo disso, estava a procura de um serviço de prevenção, pois de detecção já tinha e encontrei dois, o Cloudflare e o Incapsula, fui atrás de algum material para saber a diferença entre os dois e achei o seguinte documento. É um relatório de Philip Tibom sobre os dois serviços, comparando os dois. Não fiquei para trás e contratei o serviço da Cloudflare para testes e antes de postar o relatório da OWASP quero dizer que o serviço funciona muito bem contra ataques DDoS layer 7 e 4.

Por escolha popular muitos escolhem o Cloudflare pela sua propaganda e bla bla bla, mas segundo tal relatório o Incapsula leva a melhor. Então se você está procurando serviços de prevenção indico o Incapsula para serviços em geral e o Cloudflare para “proteção DDoS”. O relatório tenta responder algumas perguntas e posso até enumerar algumas delas:

  1. Como a mudança de DNS afeta sua segurança?
  2. Com base na OWASP, estamos protegidos?
  3. Essa parada de SSL, rola mesmo?
  4. Conseguimos ficar 24 horas por dia estáveis?
  5. Como funcionam ataques XSS, SQLi, RFI?

Quero deixar claro que não fiz o teste do Incapsula, então as conclusões aqui tiradas estão baseadas nos testes feitos pelo white hat. Gostei do relatório por ser persuasivo, é impossível você ver todos os testes que foram feitos e não falar que a melhor solução hoje em dia para prevenção é o Incapsula. Caso você queira saber mais sobre os serviços leia o relatório e visite as páginas:

https://pt-br.cloudflare.com

http://www.incapsula.com

fonte: http://securityattack.com.br

value1

Facebook testa publicidade nas notificações

facebook-noticicacoesUma das áreas mais úteis do Facebook é também uma das poucas ainda livres de publicidade, mas isso pode estar prestes a mudar. Já tem usuário topando com anúncios nas notificações.

 

Os testes com isso começaram em julho, quando tudo não passava de uma hipótese. Agora o Digital Trends recebeu capturas de tela comprovando que a segunda fase de testes já começou.

A princípio, o espaço está sendo utilizado para divulgar os jogos da rede social - no caso da imagem, o jogo Shipwrecked.

No futuro, quem sabe, as notificações poderão servir também para tratar de outros anunciantes.

fonte: http://olhardigital.uol.com.br/

value1

Domínio mais caro da internet vale US$ 35 milhões

dindinEstá em curso uma corrida pelo domínio ideal, graças ao início da liberação de URLs personalizadas. Mas os endereços .com ainda têm seu charme, prova disso é o quanto se paga por um destes - em alguns casos, muito. Para se ter uma ideia, o mais caro saiu pela bagatela de US$ 35 milhões...

 

The Next Web levantou quais são os domínios mais caros da atualidade. São quinze combinações que, juntas, somam uma bela fortuna. Confira abaixo:

15 e 14: Korea.com e SEO.com

Ambos foram comprados por US$ 5 milhões, o primeiro em 2000 e o segundo, em 2007; sendo que o Korea.com é o domínio nacional mais caro da lista.

13: Toys.com

Comprado pela gigante Toys "R" Us em março de 2009, saiu por US$ 5,1 milhões.

11 e 12: Casino.com e Slots.com

Vendidos a pessoas diferentes, em momentos diferentes, os dois endereços conseguiram arrecadar US$ 5,5 milhões cada - um em 2003, outro em 2010.

10: Beer.com

Relacionado a cerveja, o domínio foi vendido em 2004 por US$ 7 milhões ao Thought Convergence, mas permanece hospedando uma página em branco.

9 e 8: Business.com e Diamond.com

Foram pagos US$ 7,5 milhões por cada uma dessas URLs.

7: FB.com

Este, obviamente, ficou com a maior rede social do mundo, que em 2010 desembolsou pelo endereço US$ 8,5 milhões. Se você acessar fb.com, será direcionado ao Facebook, que ainda usa o domínio nos e-mails de seus funcionários.

6: Porn.com

Este é um daqueles endereços considerados NSFW (em inglês, algo como não adequado para o trabalho). Foi vendido em 2007 por US$ 9,5 milhões.

5: Fund.com

O Fund.com pertence a uma empresa de serviços financeiros, mas, apesar de ter sido vendido por US$ 9,99 milhões em 2008, não hospeda nada atualmente.

4: Hotels.com

Este saiu por "cerca de" US$ 11 milhões. Foi o que o dono da URL disse em uma entrevista à BBC. Nem ele sabe ao certo quanto gastou com o domínio.

3: Sex.com

Mais óbivo que o 6º da lista, o Sex.com custou US$ 13 milhões e leva a um conteúdo, digamos, NSFW.

2: PrivateJet.com

Apenas US$ 30,18 milhões separam o internauta comum e o dono deste domínio. Quando rendeu essa quantia, em 2012, por pouco ele não se tornou a venda mais cara deste mercado.

1: VacationRentals.com

Fundador da HomeAway, Brian Sharples, dono desta URL, admitiu ter investido US$ 35 milhões para adquiri-la, em 2007, só para que a Expedia não o fizesse.

fonte: http://olhardigital.uol.com.br/

value1

Facebook vai (finalmente) deixá-lo editar e corrigir os seus posts

editar-facebookSe é daquelas pessoas que não pode ver erros ortográficos ou gralhas e odeia cometê-los, então seja bem-vindo ao clube daqueles que ficam com os nervos em franja sempre que se lembram que o Facebook não deixa corrigir posts depois de estes serem publicados.

Se cometer um pequeno erro, lá tem de ir apagar o post e voltar a publicá-lo. Mas isso vai acabar em breve.

 

A rede social está, finalmente, a considerar deixar os utilizadores editar os seus posts. A função começou a ser testada esta quinta-feira (26), sem grandes alaridos. Já é possível editar publicações no site do Facebook e na aplicação para Android, mas a função deverá chegar ao iOS em breve, de acordo com uma porta-voz da rede social.

Uma das razões porque o Facebook se mostrava resistente a esta mudança era simples: os utilizadores podiam publicar um post completamente inofensivo, receber inúmeros “gostos” e comentários e depois mudar o tema para algo menos aceitável. Contudo, a quantidade de utilizadores que se queixava de não poder editar publicações falou mais alto.

Assim, o Facebook focou-se nas vantagens gramaticais da nova ferramenta. De acordo com a porta-voz, a funcionalidade será perfeita se o utilizador “notar uma gralha ou for prejudicado pelos corretores automáticos”.

Para aceder à ferramenta, basta clicar na seta que se encontra no canto superior direito de cada publicação e escolher “editar”. Depois disso, os utilizadores podem ver o registo das mudanças feitas.

fonte: http://www.tecnologia.com.pt

value1

User Experience: muito se fala, pouco se faz.

ux-areasUser Experience ou experiência do usuário. Ao buscar no Google os resultados são imensos. Muitos blogs, agências, “especialistas” e empresas de conteúdo falam sobre isso, mas analisando a internet em sua imensidão e amplitude, um questionamento é válido: até que ponto a experiência do usuário realmente é levada em consideração?

 

Antes de iniciar essa discussão é extremamente importante ressaltar o fato de que a autora que aqui vos fala, acessa diariamente mais de 20 sites. Aleatoriamente muitas vezes, em busca de conteúdo, de informação, de inovação. Fora os que já são carta marcada nas abas do meu pc, a cada dia tenho uma nova surpresa.

Alguns são verdadeiramente horríveis. Não há outra palavra que os defina. Muita informação, muita publicidade, uma verdadeira bagunça. Eu reparo e confesso que não confio em uma palavra ali descrita. Sim, isso é julgar um livro pela capa, mas também é me preocupar com o fato de que quem fez aquilo ali, não deu a mínima para o que eu iria pensar.

A experiência do usuário tornou-se regra, mas infelizmente muitas empresas que se dizem boas em desenvolvimento de plataformas digitais, ainda não a seguem ao pé da letra. O resultado? Milhões de páginas poluídas, porém, muitas vezes, lotadas de acesso.

Mas espere um momento. Se são tão ruins assim, porque tantos acessos? Porque você não se importa. Ou talvez você se importe, mas a Dna. Sônia não, nem o seu vizinho, muito menos a minha avó. E é isso que faz com que a nossa experiência de navegação fique em segundo plano por instituições preocupadas apenas em gerar lucro em cima de uma massa que navega naquele site de baixa qualidade só porque a garota da Malhação fez um jabázinho no Instagram.

É uma realidade dura, mas infelizmente é realidade. Enquanto nós, usuários, não nos preocuparmos com o que estamos acessando, para onde está indo o nosso “ibope” e porque não devemos aceitar isso, os sites, e-commerces e plataformas “mais ou menos” continuarão presentes, gerando tráfego e tirando tráfego de quem realmente pensou em você, para desenvolver.

fonte: http://blog.azclick.com.br/

value1

Pesquisa mostra os principais motivos para brasileiros compartilharem nas redes sociais

compartilhamentoSegundo um relatório recente da Ipsos, empresa especializada em pesquisas de mídia e publicidade, o principal motivo para os brasileiros postarem nas redes sociais é com o objetivo de “compartilhar algo interessante” (63%). O próximo motivo apontado na pesquisa é “mostrar aos outros quem eu realmente sou” (60%), seguido por “compartilhar algo importante” (57%) e por “compartilhar algo engraçado” (43%).

 

A pesquisa também mostrou que a vontade por compartilhar coisas interessantes ocupa a primeira posição na lista de 24 países analisados, com apenas uma exceção: Arábia Saudita, país no qual as pessoas costumam postar mais com o objetivo de “mostrar aos outros quem eu realmente sou”. O mapa do engajamento dos países que mais postam com esse tipo de finalidade é composto por China (76%), Indonésia (76%), África do Sul (74%), Turquia (71%), Rússia (68%), Canadá (65%), Reino Unido (65%) e Estados Unidos (65%).

Os brasileiros também compartilham muitos conteúdos em redes sociais visando “recomentar um produto, serviço, livro, filme, etc.” (41%), mas pouco quando o assunto é “apoiar uma causa, organização ou crença” (35%), “compartilhar algo único” (17%) ou “mostrar aos outros o que você está fazendo” (16%).

Dos países analisados, a Turquia detém o título de pessoas que mais postam porque consideram algo importante (67%), enquanto a Argentina tem o maior número de usuários compartilhando um conteúdo porque apoia uma causa, organização ou crença (48%).

Fonte: E-Commerce News

value1

51% das marcas preferem anunciar no Facebook

social-300x268Pesquisa divulgada pelo Socialbakers coloca o Facebookcomo a rede social preferida das marcas para anunciar produtos e serviços. Das quatro maiores redes sociais, o Facebook se destaca com 51% da preferência, seguido peloYouTube (22% ), Twitter (19%) e LinkedIn (14%).

 

Para o Socialbakers, o Facebook tem a preferência da maior parte dos anunciantes por oferecer diversas ferramentas de segmentação. O site destaca, ainda, que a produção de conteúdo nesta plataforma é mais barato e mais eficaz em relação às demais redes sociais, o que faz dele um lugar muito mais interessante para os anunciantes.

grafico

fonte: http://www.wbibrasil.com.br/

value1

Livro sobre Kali Linux

3169OSSaiu no mês de setembro um livro criado por Joseph Muniz e Aamir Lakhani sobre Web Penetration Testing com Kali Linux, logo o livro recebe esse nome. Ainda não tive a oportunidade de ler o livro, terei que fazer a compra, pois não achei em formato PDF caso algum dos nossos leitores consigam o livro podem deixar nos comentários o link para acesso ou download.

 

Bom, gostaria de saber se o livro faz jus ao nome e se as técnicas abordadas seriam apenas para ambiente web. Como não posso ainda fazer uma análise sobre livro só posso colocar o que foi disponível para nós no site e pelos próprios autores.

Aqui vão os pontos abordados:

  • Chapter 1: Penetration Testing and Setup
  • Web application Penetration Testing concepts
  • Penetration Testing methodology
  • Calculating risk
  • Kali Penetration Testing concepts
  • Step 1 – Reconnaissance
  • Step 2 – Target evaluation
  • Step 3 – Exploitation
  • Step 4 – Privilege Escalation
  • Step 5 – maintaining a foothold
  • Introducing Kali Linux
  • Kali system setup
  • Running Kali Linux from external media
  • Installing Kali Linux
  • Kali Linux and VM image first run
  • Kali toolset overview
  • Summary
  • Chapter 2: Reconnaissance
  • Reconnaissance objectives
  • Initial research
  • Company website
  • Web history sources
  • Regional Internet Registries (RIRs)
  • Electronic Data Gathering, Analysis, and Retrieval (EDGAR)
  • Social media resources
  • Trust
  • Job postings
  • Location
  • Shodan
  • Google hacking
  • Google Hacking Database
  • Researching networks
  • HTTrack – clone a website
  • ICMP Reconnaissance techniques
  • DNS Reconnaissance techniques
  • DNS target identification
  • Maltego – Information Gathering graphs
  • Nmap
  • FOCA – website metadata Reconnaissance
  • Summary
  • Chapter 3: Server-side Attacks
  • Vulnerability assessment
  • Webshag
  • Skipfish
  • ProxyStrike
  • Vega
  • Owasp-Zap
  • Websploit
  • Exploitation
  • Metasploit
  • w3af
  • Exploiting e-mail systems
  • Brute-force attacks
  • Hydra
  • DirBuster
  • WebSlayer
  • Cracking passwords
  • John the Ripper
  • Man-in-the-middle
  • SSL strip
  • Starting the attack – redirection
  • Setting up port redirection using Iptables
  • Summary
  • Chapter 4: Client-side Attacks
  • Social engineering
  • Social Engineering Toolkit (SET)
  • Using SET to clone and attack
  • MitM Proxy
  • Host scanning
  • Host scanning with Nessus
  • Installing Nessus on Kali
  • Using Nessus
  • Obtaining and cracking user passwords
  • Windows passwords
  • Mounting Windows
  • Linux passwords
  • Kali password cracking tools
  • Johnny
  • hashcat and oclHashcat
  • samdump2
  • chntpw
  • Ophcrack
  • Crunch
  • Other tools available in Kali
  • Hash-identifier
  • dictstat
  • RainbowCrack (rcracki_mt)
  • findmyhash
  • phrasendrescher
  • CmosPwd
  • creddump
  • Summary
  • Chapter 5: Attacking Authentication
  • Attacking session management
  • Clickjacking
  • Hijacking web session cookies
  • Web session tools
  • Firefox plugins
  • Firesheep – Firefox plugin
  • Web Developer – Firefox plugin
  • Greasemonkey – Firefox plugin
  • Cookie Injector – Firefox plugin
  • Cookies Manager+ – Firefox plugin
  • Cookie Cadger
  • Wireshark
  • Hamster and Ferret
  • Man-in-the-middle attack
  • dsniff and arpspoof
  • Ettercap
  • Driftnet
  • SQL Injection
  • sqlmap
  • Cross-site scripting (XSS)
  • Testing cross-site scripting
  • XSS cookie stealing / Authentication hijacking
  • Other tools
  • urlsnarf
  • acccheck
  • hexinject
  • Patator
  • DBPwAudit
  • Summary
  • Chapter 6: Web Attacks
  • Browser Exploitation Framework – BeEF
  • FoxyProxy – Firefox plugin
  • BURP Proxy
  • OWASP – ZAP
  • SET password harvesting
  • Fimap
  • Denial of Services (DoS)
  • THC-SSL-DOS
  • Scapy
  • Slowloris
  • Low Orbit Ion Cannon
  • Other tools
  • DNSCHEF
  • SniffJoke
  • Siege
  • Inundator
  • TCPReplay
  • Summary
  • Chapter 7: Defensive Countermeasures
  • Testing your defenses
  • Baseline security
  • STIG
  • Patch management
  • Password policies
  • Mirror your environment
  • HTTrack
  • Other cloning tools
  • Man-in-the-middle defense
  • SSL strip defense
  • Denial of Service defense
  • Cookie defense
  • Clickjacking defense
  • Digital forensics
  • Kali Forensics Boot
  • Filesystem analysis with Kali
  • dc3dd
  • Other forensics tools in Kali
  • chkrootkit
  • Autopsy
  • Binwalk
  • pdf-parser
  • Foremost
  • Pasco
  • Scalpel
  • bulk_extractor
  • Summary
  • Chapter 8: Penetration Test Executive Report
  • Compliance
  • Industry standards
  • Professional services
  • Documentation
  • Report format
  • Cover page
  • Confidentiality statement
  • Document control
  • Timeline
  • Executive summary
  • Methodology
  • Detailed testing procedures
  • Summary of findings
  • Vulnerabilities
  • Network considerations and recommendations
  • Appendices
  • Glossary
  • Statement of Work (SOW)
  • External Penetration Testing
  • Additional SOW material
  • Kali reporting tools
  • Dradis
  • KeepNote
  • Maltego CaseFile
  • MagicTree
  • CutyCapt
  • Sample reports
  • Summary

O próprio Aamir Lakhani diz o seguinte quando se refere ao seu livro:

Levaram muitas horas ao longo de alguns meses para terminar este livro, mas acreditamos que temos algo único e diferente de outros livros de segurança. Joey e eu tentamos trazer a experiência do mundo real que temos com mais de 20 anos de consultoria combinado. Isso inclui não só os aspectos técnicos de testes de penetração, mas também como  fazer para vender e alcançar um teste de penetração feito com sucesso e como escrever um relatório final para a entrega.

O livro possui 350 páginas e pode ser comprado através do link:

http://www.packtpub.com/web-penetration-testing-with-kali-linux/book

value1

YouTube cria Biblioteca de Áudio com 150 mil músicas disponíveis para download

biblioteca-youtubeHá mudança no ar no YouTube. O site acaba de inaugurar um extenso acervo cheio de música instrumental gratuita que os utilizadores podem utilizar para dar som a um projeto ou remisturar, por exemplo.

O projeto chama-se Biblioteca de Áudio e pode conhecê-lo melhor aqui. O objetivo do YouTube fica bem claro quando lê a simples mensagem de boas-vindas do acervo: “transfira gratuitamente música de fundo para os seus vídeos”, mas não só.

 

A biblioteca conta com cerca de 150 mil músicas de quase todos os géneros e criadas por artistas de todo o mundo. Os downloads podem ser feitos em versão MP3  de alta qualidade (320 Kbits por segundo). A partir daí, o utilizador pode usar a música para fazer o que lhe apetecer.

Para usufruir do serviço ao máximo, basta ter uma conta no YouTube. Além disso, o site convida todos os músicos que queiram contribuir para o acervo a enviar as suas criações.

fonte: http://www.tecnologia.com.pt

value1

Veja como o uso exagerado de hashtags pode ser irritante

hashtag-justin 435O comediante Jimmy Fallon e o cantor/ator Justin Timberlake mostram em um divertido novo vídeo como o uso das hashtags, cada vez mais comuns nas redes sociais, pode beirar o absurdo e até irritar em alguns casos.

 

No clipe, Fallon e Timberlake mostram como podemos parecer bobos ao fazer uso exagerado de hashtags em serviços como Twitter, Facebook e Instagram.

Para deixar isso bem explícito, a dupla trava uma conversa em voz inundada de hashtags, sempre anunciadas verbalmente e por um sinal com as mãos.

E aí, concordam que o uso de hashtags pode ser irritante? Deixe sua opinião nos comentários abaixo.

 {media load=media,id=258,width=200,align=left,display=inline}

fonte: http://idgnow.uol.com.br