AppSec Latin America 2011

Passei os últimos dias trabalhando para viabilizar o AppSec Brasil 2010. Em breve eu vou postar mais sobre esse assunto...

Como estou participando do Global Conferences Committee do OWASP, estou ajudando a montar uma grande "Chamada de Conferências" para 2011. Assim surgiu a idéia de lançar uma chamada local por cidades que queiram sediar uma AppSec em 2011. A idéia cresceu e virou o email abaixo, publicado também no blog do OWASP:

Dear Fellow OWASP Leaders,

in 2009 we had the first AppSec in South America, which was organised
by the Brazilian Chapter in Brasilia, with more than 200 participants
from Brazil, Argentina and Peru. For 2010, we are already organising
another AppSec Brasil, which will be in Campinas (90 km from the City
of São Paulo). We will soon begin releasing the call for presentations
for 2010 and hope to have even more submissions from Latin America
than we had last year. We have set the goal to make the transition
from AppSec Brasil to AppSec Latin America, and need your help in
doing so.

As you may know, OWASP's Global Conferences Committee will soon issue
a Call for Conferences for year 2011. Before answering to this call,
we are planning to release a Call for Conference Locations, so that
candidate teams around Latin America can propose local venues to host
a big AppSec Latin America Conference for 2011.

We believe this will be the first big effort to get together the Latin
American OWASP Community in a big meeting, which would increase
collaboration among our Chapter members and improve the presence of
the community in OWASP.

We hope to have your support for this effort and are eager to hear
your comments and suggestions. We also ask you to help us spread the
word to other Chapters or groups we may have missed.

Best Regards,

Wagner Elias (wagner.elias@owasp.org)
Eduardo Camargo Neves (eduardo.neves@owasp.org)
Lucas C. Ferreira (lucas.ferreira@owasp.org)

SSL

Já tem algum tempo que eu descobri o SSL Labs, principalmente devido ao fato de que o responsável por este projeto é o autor original do ModSecurity, o Ivan Ristic. O SSL labs é o site onde o Ivan Ristic coloca as suas descobertas sobre o SSL, que é o seu tema de interesse no momento.

E o site já tem bastante coisa interessante como o "Public SSL Server Database", que é uma base de dados de servidores que usam SSL, em conjunto com uma ferramenta que analisa as configurações de SSL de cada servidor. No final, cada servidor recebe uma nota. Os resultados são bem legais para quem tem de configurar servidores web com SSL, embora o serviço não reconheça certificados da ICP-Brasil.

Além do SSL Labs, o protocolo SSL ganhou as manchetes ultimamente por causa do Google, que colocou o acesso ao GMail utilizando SSL como padrão. Esta é uma boa notícia, embora não resolva todos os problemas de segurança.

Outra notícia recente foi a descoberta de uma vulnerabilidade no protocolo, levando à necessidade de atualização tanto de browsers quanto de servidores. Pelo lado positivo, a ferramenta do SSL Labs permite detectar se os servidores estão vulneráveis.

Enfim, o SSL é importante mas não resolve todos os problemas de segurança na web. Mas também não adianta se não for implementado corretamente.

RENASIC e OWASP

Ontem eu participei da primeira reunião presencial para discussão da RENASIC (Rede Nacional de Segurança da Informação e Criptografia). Esta rede está sendo organizada pelo Gabinete de Segurança Institucional da Presidência da República (GSI) com o objetivo de "elevar a competência brasileira em Segurança da Informação e Criptografia." Uma das tarefas pirncipais da rede é aproximar os pesquisadores e demais profissionais brasileiros de áreas ligadas à Segurança da Informação.

A rede é composta por laboratórios temáticos, que por sua vez são compostos por diferentes projetos de pesquisa ou desenvolvimento. Em princípio, os projetos são independentes, mas a existência da rede deve possibilitar a aproximação de projetos que apresentem sinergias. Por exemplo, ontem foram apresentados dois projetos que me pareceram complementares: alguns físicos da UFMG (que por acaso eu conhecia há muitos anos por causa da minha mãe) estão trabalhando na geração de números aleatórios a partir de fenômenos físicos e o prof. Joel (da UnB) falou sobre um projeto de desenvolvimento de protocolo para distribuição de chaves para o One Time Pad. A rede propiciou o encontro das duas equipes e talvez possa prover mais incentivos para que trabalhem juntos, já que os físicos vão precisar de aplicações para o gerador e o uso de One Time Pad é uma excelente aplicação para este projeto.

Durante a reunião, me lembrei de um dos problemas que eu vejo na RENASIC: apesar do nome, está se formando uma rede com um foco muito grande em criptografia. Não por culpa dos organizadores, mas porque a maioria da comunidade acadêmica de Segurança da Informação no Brasil é composta por critógrafos. Os demais pesquisadores ou são poucos, ou não formaram uma comunidade coesa o suficiente para que sejam devidamente notados.

Me lembrei também que preferi não apresentar projeto para a RENASIC devido a meu crescente envolvimento no OWASP, uma vez que não gosto de me comprometer com projetos para os quais não terei como dedicar meu tempo. Pretendo no entanto pensar em possibilidades de interação do OWASP com a RENASIC, pois acho que existe uma boa possibilidade de crescimento para ambos.

Num paralelo entre a RENASIC e o OWASP, acho que existem alguma semelhanças. Primeiro porque o OWASP é principalmente uma rede, no sentido de que a existência da organização formal (OWASP Foundation) serve apenas para suporte às atividades da rede. Segundo porque um dos grande méritos do OWASP é o de aproximar os interessados em segurança de aplicações, num paralelo com o objetivo principal da RENASIC. Outra semelhança é que a base para ambas as iniciativas são projetos, a princípio independentes, mas com grande potencial para sinergias ou colaborações.

Por outro lado, sendo a RENASIC uma iniciativa governamental e que busca o financiamento de fontes governamentais, ela já nasce com a necessidade de uma formalização maior. No caso do OWASP, a formalização normalmente vem a posteriori, mas talvez seja possível aproveitar pelo menos parte do modelo do OWASP na RENASIC.

No OWASP, os projetos surgem organicamente: uma pessoa ou grupo propõe um projeto e começa a trabalhar nele. De início, o OWASP fornece alguma estrutura básica para o projeto, como um espaço na wiki e listas de discussão por email. Cabe aos líderes de cada projeto angariar seguidores e trabalhar para que o projeto cresça. Assim, os projetos que geram mais interesse acabam crescendo e alguns projeto que não atraem voluntários podem ser abandonados. De tempos em tempos, ocorrem rodadas de financiamento de projetos (chamados de season of code) em que os projeto concorrem pelas verbas disponíveis. Projetos mais importantes podem também conseguir financiamento direto por empresas interessadas ou até financiamento do OWASP, dependendo do caso.

O controle das verbas é feito pela OWASP Foundation, que também administra a infra-estrutura básica para o funcionamento da associação. As verbas vem de doações ou do lucro ocorrido em eventos e da venda de material (de camisetas a livros).

Voltando ao RENASIC, talvez fosse interessante tentar emular a forma orgânica como os projetos do OWASP nascem e se desenvolvem, com o DSIC atuando no papel de facilitador e de agente de controle e alocação das verbas destinadas aos projetos. A RENASIC teria assim como papéis principais:

1. Agregar a comunidade em torno de uma infra-estrutura que permita o desenvolvimento dos projetos;
2. Organizar encontros para discussão e apresentação dos projetos, permitindo a interação e descoberta de sinergias;
3. Manter o fluxo adequado de recursos para os projetos, na medida do possível.

Em suma, acredito que a RENASIC poderia atuar de forma aberta e mais orgânica, de forma a facilitar a agregação de mais projetos e/ou pesquisadores. Pela experiência do OWASP, a medida que a comunidade cresce, atrai mais a atenção e o interesse em participar aumenta. Fora que a possibilidade de fomento também é um excelente atrativo.

AppSec Brasil pra quem perdeu

O AppSec Brasil 2009 acabou. O evento foi muito legal, mas eu sou inteiramente suspeito pra falar a respeito.

Quem não foi ainda pode aproveitar as apresentações, que estão disponíveis a partir da página http://www.owasp.org/index.php/AppSec_Brasil_2009_%28pt-br%29#tab=Arquivos_das_Apresenta.C3.A7.C3.B5es

AppSec Brasil - notícias de última hora

Algumas notícias de última hora sobre o AppSec Brasil:

1. Sexta-feira, tivemos uma pequena confusão. No âmbito da TI-Controle, várias instituições ficaram encarregadas de apoiar a conferência com passagens aéreas. Até o início de semana passada, todas haviam entregue as passagens prometidas, menos o TSE, que estava encarregado de 2 passagens internacionais. Na quinta à noite, ainda não havia um decisão a respeito (ou seja, nem sabíamos se eles iam mesmo fornecer as passagens). Então conseguimos autorização para procurar um patrocínio de emergência. Conseguimos então o patrocínio da Conviso e da LeadComm, que forneceram as passagens necessárias.
2. Teremos transmissão ao vivo das palestras via Internet a partir da URL: www.camara.gov.br/webcamara. Assim, se você não puder vir nos encontrar, poderá acompanhar o conteúdo via Internet.
3. Recebi ontem a notícia de que o Jason Li está doente (gripe suína) e não virá para a conferência. Como ele faria sua apresentação junto com o Jerry Hoff, o Jerry vai assumir a palestra sozinho.

Nesta terça começa a conferência. Tomara que não tenhamos mais sustos até lá.

AppSec Brasil - agora vai?

As últimas semanas foram cheias e estressantes com os preparativos do AppSec Brasil. Com as inscrições rolando, foi necessário ficar de olho e também resolver problemas que pudessem ocorrer.

Fora as inscrições, tivemos preocupações com os prazos para que os convidados estadunidenses recebessem seus vistos de entrada no Brasil. Esse negócio de reciprocidade é muito bonito no papel (e eu também achava o máximo) mas parece atrapalhar mais a gente do que eles. Podiam até exigir visto, mas deveria ser mais fácil conseguir o visto. Fiquei sem saber se a burocracia é só por tradição do governo brasileiro ou se é como retribuição pela burocracia em se tirar um visto para entrar nos EUA.

Enfim, os vistos parecem estar encaminhados finalmente.

Dentre as últimas novidade temos também que os cartazes do evento ficaram prontos. Em breve, teremos também os folders com a programação. O folder é a ilustração deste post. O cartaz está aí abaixo.


Ainda temos algumas pendências, mas o principal agora é terminar os preparativos dos materiais, como crachás, pastas, apostilas de cursos, etc. Já não temos mais vagas nos mini-cursos e estamos chegando nos 350 inscritos para as palestras. Em breve todas as vagas estarão esgotadas.

AppSec Brasil - cahamada para participação

AppSec Brasil 2009

CHAMADA PARA PARTICIPAÇÃO

Conferência internacional de Segurança de Aplicações, organizada e promovida pela comunidade TI-controle e pelo Centro de Informática da Câmara dos Deputados, em parceria com o OWASP, Capítulo brasil, e com apoio da Universidade de Brasília (UnB).

O Centro de Informática da Câmara dos Deputados e a Comunidade TI-Controle convidam a todos a participarem da Conferência Internacional de Segurança de Aplicações (AppSec Brasil 2009), que ocorrerá na Câmara dos Deputados (Brasília, DF) de 27 a 30 de outubro de 2009.

Haverão mini-cursos nos dias 27 e 28 de outubro, seguidos de sessões plenárias de trilha única nos dias 29 e 30 de outubro de 2009.

Keynotes

Dr. Gary McGraw, CTO da Cigital

O Modelo de Maturidade Building Security In (BSIMM)

Jason Li, Aspect Security

Ágil e Seguro: É possível fazer os dois?

Dinis Cruz, OWASP Board

Apresentação do Projeto OWASP

Kuai Hinojosa, NY University e OWASP

Implementando Aplicações Web Seguras Usando Recursos do OWASP

Palestras

A Conferência contará com palestras técnicas que tratarão diversos aspectos de Segurança de Aplicações. Os temas incluem:

• Segurança de aplicações web
• Otimização de gastos com segurança
• SQL Ownage
• ferramentas.
  

Mini-cursos

A Conferência contará também com 5 mini-cursos:

• Gestão de Riscos de Segurança Aplicada a Web Services
• Segurança Web: Técnicas para Programação Segura de Aplicações
• Segurança Computacional no Desenvolvimento de Web Services
• Tecnologias de Segurança em Web Services
• Hands on Web Application Testing using the OWASP Testing Guide.
  

Local

A Conferência ocorrerá na Câmara dos Deputados, em Brasília. As plenárias serão no auditório Nereu Ramos, no Anexo II e os mini-cursos serão no Centro de Formação, Treinamento e Aperfeiçoamento.

Inscrições

A participação na Conferência será gratuita, mas, devido à limitação de lugares, será necessário inscrever-se previamente.

As inscrições estarão abertas a partir do dia 29/10/2009 na URL: http://www.camara.gov.br/appsecbrasil2009

Informações

Para maiores informações, favor consultar os sites abaixo ou enviar email para appsec.brasil@camara.gov.br

Inscrições e informações sobre a conferência: http://www.camara.gov.br/appsecbrasil2009

Comunidade TI-Controle: http://www.ticontrole.gov.br
Câmara dos Deputados: http://www.camara.gov.br