sexta-feira, 11 de dezembro de 2009

RENASIC e OWASP

Ontem eu participei da primeira reunião presencial para discussão da RENASIC (Rede Nacional de Segurança da Informação e Criptografia). Esta rede está sendo organizada pelo Gabinete de Segurança Institucional da Presidência da República (GSI) com o objetivo de "elevar a competência brasileira em Segurança da Informação e Criptografia." Uma das tarefas pirncipais da rede é aproximar os pesquisadores e demais profissionais brasileiros de áreas ligadas à Segurança da Informação.

A rede é composta por laboratórios temáticos, que por sua vez são compostos por diferentes projetos de pesquisa ou desenvolvimento. Em princípio, os projetos são independentes, mas a existência da rede deve possibilitar a aproximação de projetos que apresentem sinergias. Por exemplo, ontem foram apresentados dois projetos que me pareceram complementares: alguns físicos da UFMG (que por acaso eu conhecia há muitos anos por causa da minha mãe) estão trabalhando na geração de números aleatórios a partir de fenômenos físicos e o prof. Joel (da UnB) falou sobre um projeto de desenvolvimento de protocolo para distribuição de chaves para o One Time Pad. A rede propiciou o encontro das duas equipes e talvez possa prover mais incentivos para que trabalhem juntos, já que os físicos vão precisar de aplicações para o gerador e o uso de One Time Pad é uma excelente aplicação para este projeto.

Durante a reunião, me lembrei de um dos problemas que eu vejo na RENASIC: apesar do nome, está se formando uma rede com um foco muito grande em criptografia. Não por culpa dos organizadores, mas porque a maioria da comunidade acadêmica de Segurança da Informação no Brasil é composta por critógrafos. Os demais pesquisadores ou são poucos, ou não formaram uma comunidade coesa o suficiente para que sejam devidamente notados.

Me lembrei também que preferi não apresentar projeto para a RENASIC devido a meu crescente envolvimento no OWASP, uma vez que não gosto de me comprometer com projetos para os quais não terei como dedicar meu tempo. Pretendo no entanto pensar em possibilidades de interação do OWASP com a RENASIC, pois acho que existe uma boa possibilidade de crescimento para ambos.

Num paralelo entre a RENASIC e o OWASP, acho que existem alguma semelhanças. Primeiro porque o OWASP é principalmente uma rede, no sentido de que a existência da organização formal (OWASP Foundation) serve apenas para suporte às atividades da rede. Segundo porque um dos grande méritos do OWASP é o de aproximar os interessados em segurança de aplicações, num paralelo com o objetivo principal da RENASIC. Outra semelhança é que a base para ambas as iniciativas são projetos, a princípio independentes, mas com grande potencial para sinergias ou colaborações.

Por outro lado, sendo a RENASIC uma iniciativa governamental e que busca o financiamento de fontes governamentais, ela já nasce com a necessidade de uma formalização maior. No caso do OWASP, a formalização normalmente vem a posteriori, mas talvez seja possível aproveitar pelo menos parte do modelo do OWASP na RENASIC.

No OWASP, os projetos surgem organicamente: uma pessoa ou grupo propõe um projeto e começa a trabalhar nele. De início, o OWASP fornece alguma estrutura básica para o projeto, como um espaço na wiki e listas de discussão por email. Cabe aos líderes de cada projeto angariar seguidores e trabalhar para que o projeto cresça. Assim, os projetos que geram mais interesse acabam crescendo e alguns projeto que não atraem voluntários podem ser abandonados. De tempos em tempos, ocorrem rodadas de financiamento de projetos (chamados de season of code) em que os projeto concorrem pelas verbas disponíveis. Projetos mais importantes podem também conseguir financiamento direto por empresas interessadas ou até financiamento do OWASP, dependendo do caso.

O controle das verbas é feito pela OWASP Foundation, que também administra a infra-estrutura básica para o funcionamento da associação. As verbas vem de doações ou do lucro ocorrido em eventos e da venda de material (de camisetas a livros).

Voltando ao RENASIC, talvez fosse interessante tentar emular a forma orgânica como os projetos do OWASP nascem e se desenvolvem, com o DSIC atuando no papel de facilitador e de agente de controle e alocação das verbas destinadas aos projetos. A RENASIC teria assim como papéis principais:
  1. Agregar a comunidade em torno de uma infra-estrutura que permita o desenvolvimento dos projetos;
  2. Organizar encontros para discussão e apresentação dos projetos, permitindo a interação e descoberta de sinergias;
  3. Manter o fluxo adequado de recursos para os projetos, na medida do possível.
Em suma, acredito que a RENASIC poderia atuar de forma aberta e mais orgânica, de forma a facilitar a agregação de mais projetos e/ou pesquisadores. Pela experiência do OWASP, a medida que a comunidade cresce, atrai mais a atenção e o interesse em participar aumenta. Fora que a possibilidade de fomento também é um excelente atrativo.

quinta-feira, 5 de novembro de 2009

AppSec Brasil pra quem perdeu

O AppSec Brasil 2009 acabou. O evento foi muito legal, mas eu sou inteiramente suspeito pra falar a respeito.

Quem não foi ainda pode aproveitar as apresentações, que estão disponíveis a partir da página http://www.owasp.org/index.php/AppSec_Brasil_2009_%28pt-br%29#tab=Arquivos_das_Apresenta.C3.A7.C3.B5es

domingo, 25 de outubro de 2009

AppSec Brasil - notícias de última hora

Algumas notícias de última hora sobre o AppSec Brasil:
  1. Sexta-feira, tivemos uma pequena confusão. No âmbito da TI-Controle, várias instituições ficaram encarregadas de apoiar a conferência com passagens aéreas. Até o início de semana passada, todas haviam entregue as passagens prometidas, menos o TSE, que estava encarregado de 2 passagens internacionais. Na quinta à noite, ainda não havia um decisão a respeito (ou seja, nem sabíamos se eles iam mesmo fornecer as passagens). Então conseguimos autorização para procurar um patrocínio de emergência. Conseguimos então o patrocínio da Conviso e da LeadComm, que forneceram as passagens necessárias.
  2. Teremos transmissão ao vivo das palestras via Internet a partir da URL: www.camara.gov.br/webcamara. Assim, se você não puder vir nos encontrar, poderá acompanhar o conteúdo via Internet.
  3. Recebi ontem a notícia de que o Jason Li está doente (gripe suína) e não virá para a conferência. Como ele faria sua apresentação junto com o Jerry Hoff, o Jerry vai assumir a palestra sozinho.
Nesta terça começa a conferência. Tomara que não tenhamos mais sustos até lá.

sábado, 17 de outubro de 2009

AppSec Brasil - agora vai?


As últimas semanas foram cheias e estressantes com os preparativos do AppSec Brasil. Com as inscrições rolando, foi necessário ficar de olho e também resolver problemas que pudessem ocorrer.

Fora as inscrições, tivemos preocupações com os prazos para que os convidados estadunidenses recebessem seus vistos de entrada no Brasil. Esse negócio de reciprocidade é muito bonito no papel (e eu também achava o máximo) mas parece atrapalhar mais a gente do que eles. Podiam até exigir visto, mas deveria ser mais fácil conseguir o visto. Fiquei sem saber se a burocracia é só por tradição do governo brasileiro ou se é como retribuição pela burocracia em se tirar um visto para entrar nos EUA.

Enfim, os vistos parecem estar encaminhados finalmente.

Dentre as últimas novidade temos também que os cartazes do evento ficaram prontos. Em breve, teremos também os folders com a programação. O folder é a ilustração deste post. O cartaz está aí abaixo.


Ainda temos algumas pendências, mas o principal agora é terminar os preparativos dos materiais, como crachás, pastas, apostilas de cursos, etc. Já não temos mais vagas nos mini-cursos e estamos chegando nos 350 inscritos para as palestras. Em breve todas as vagas estarão esgotadas.

sábado, 26 de setembro de 2009

AppSec Brasil - cahamada para participação

AppSec Brasil 2009

CHAMADA PARA PARTICIPAÇÃO

Conferência internacional de Segurança de Aplicações, organizada e promovida pela comunidade TI-controle e pelo Centro de Informática da Câmara dos Deputados, em parceria com o OWASP, Capítulo brasil, e com apoio da Universidade de Brasília (UnB).

O Centro de Informática da Câmara dos Deputados e a Comunidade TI-Controle convidam a todos a participarem da Conferência Internacional de Segurança de Aplicações (AppSec Brasil 2009), que ocorrerá na Câmara dos Deputados (Brasília, DF) de 27 a 30 de outubro de 2009.

Haverão mini-cursos nos dias 27 e 28 de outubro, seguidos de sessões plenárias de trilha única nos dias 29 e 30 de outubro de 2009.

Keynotes

Dr. Gary McGraw, CTO da Cigital

O Modelo de Maturidade Building Security In (BSIMM)


Jason Li, Aspect Security

Ágil e Seguro: É possível fazer os dois?


Dinis Cruz, OWASP Board

Apresentação do Projeto OWASP


Kuai Hinojosa, NY University e OWASP

Implementando Aplicações Web Seguras Usando Recursos do OWASP


Palestras

A Conferência contará com palestras técnicas que tratarão diversos aspectos de Segurança de Aplicações. Os temas incluem:

  • Segurança de aplicações web
  • Otimização de gastos com segurança
  • SQL Ownage
  • ferramentas.


Mini-cursos

A Conferência contará também com 5 mini-cursos:

  • Gestão de Riscos de Segurança Aplicada a Web Services
  • Segurança Web: Técnicas para Programação Segura de Aplicações
  • Segurança Computacional no Desenvolvimento de Web Services
  • Tecnologias de Segurança em Web Services
  • Hands on Web Application Testing using the OWASP Testing Guide.


Local

A Conferência ocorrerá na Câmara dos Deputados, em Brasília. As plenárias serão no auditório Nereu Ramos, no Anexo II e os mini-cursos serão no Centro de Formação, Treinamento e Aperfeiçoamento.


Inscrições

A participação na Conferência será gratuita, mas, devido à limitação de lugares, será necessário inscrever-se previamente.

As inscrições estarão abertas a partir do dia 29/10/2009 na URL: http://www.camara.gov.br/appsecbrasil2009


Informações

Para maiores informações, favor consultar os sites abaixo ou enviar email para appsec.brasil@camara.gov.br

Inscrições e informações sobre a conferência: http://www.camara.gov.br/appsecbrasil2009

Comunidade TI-Controle: http://www.ticontrole.gov.br
Câmara dos Deputados: http://www.camara.gov.br

segunda-feira, 21 de setembro de 2009

Minirreforma eleitoral

Recebi recentemente o email abaixo, que copio para ajudar na divulgação.

From: Amilcar Brunazo Filho
Subject: Minirreforma Eleitoral - veto ao Art. 5º

Eleitores e eleitoras brasileiros,

Esta mensagem está lhe sendo enviada para lembrar a importância da Auditoria Independente do Software nas Urnas Eletrônicas, criada pelo Art. 5º da minirreforma eleitoral recem-aprovada no Congresso Nacional.

Os argumentos técnicos a favor deste dispositivo legal estão apresentados ao final.

O Min. Gilmar Mendes (que soltou o banqueiro Daniel Dantas) e o Min. Nelson Jobim (que confessou ter fraudado a Constituição) já anunciaram que vão ao Presidente Lula pedir para vetar este artigo 5º, porque, por um motivo ou outro, preferem manter o eleitor brasileiro sob tutela e sem que tenha acesso a uma forma simples de auditoria do resultado eleitoral.

Se você, como nós, acha importante que o resultado dos votos em nossas urnas eletrônicas possa ser conferido de uma maneira simples e facilmente compreensível e que não dependa de complicadas e obscuras tecnologias, solicitamos que repasse cópia desta mensagem a todos os seus conhecidos: eleitores, políticos e jornalistas.

Temos até o dia 30 de setembro para convencer o Presidente Lula a não vetar o Art. 5º da minirreforma eleitoral.

Grato por sua atenção,

  Fórum do Voto Eletrônico
www.votoseguro.org
-----------------
SEI EM QUEM VOTEI,
ELES TAMBÉM,
MAS SÓ ELES SABEM QUEM RECEBEU MEU VOTO

-----------------------------------------------------------
Minirreforma Eleitoral - Artigo 5º

A Importância da Auditoria Independente do Software nas Urnas Eletrônicas

O Brasil já foi pioneiro em tecnologia eleitoral mas, passados 13 anos da chegada das urnas eletrônicas, estamos ficando para trás.

Nossas urnas eletrônicas foram rejeitadas por mais de 50 países que vieram conhecê-las porque não oferece uma forma de conferir seu resultado de forma efetiva e simples.

O Art. 5º da minirreforma eleitoral alinha o Brasil com todos os demais países que estão modernizando suas eleições pela adoção do moderno conceito de Auditoria Independente do Software das Urnas Eletrônicas.

Este conceito foi proposto pelo mesmo inventor da técnica de Assinatura Digital, Ph.D. Ronald Rivest, depois que compreendeu que só a assinatura digital não consegue garantir a integridade do resultado de urnas eletrônicas.

A Auditoria Independente do Software se dá por meio da recontagem do Voto Impresso Conferido Pelo Eleitor em 2% das urnas eletrônicas sorteadas ao final.

A Auditoria Independente do Software cria uma forte defesa do eleitor contra fraudes internas no software das urnas eletrônicas, o que não ocorre com as atuais formas existentes de auditoria como assinaturas digitais, registros digitais do voto, testes de invasão externa e biometria do eleitor.

A Auditoria Independente do Software já foi ou está sendo adotada como padrão exigido em países como: EUA, Alemanha, Holanda,Reino Unido e, na América Latina, na Venezuela, na Argentina e no México.

Ninguém mais aceita máquinas eletrônicas de votar sem materialização do voto e sem auditoria independente.


Os erros nos argumentos contra a Auditoria Independente do Software


Nasce dos administradores eleitorais do Brasil uma forte resistência contra a Auditoria Independente do Software e pedem para que o Presidente Lula o vete o Art. 5º da minirreforma eleitoral.

Mas seus argumentos contêm erros como os seguintes:

- o voto impresso trará de volta as fraudes do voto manual
Falso – voto impresso conferido pelo eleitor difere do voto manual e não tem as mesmas fragilidades. Não será levado pelo eleitor para fora da seção eleitoral e estará sempre relacionado a um voto digital de forma que um serve de controle do outro. Se um voto impresso for adulterado o voto digital acusará e vice-versa. A fraude será sempre detectada;


- existem formas mais modernas de auditoria como Assinaturas Digitais, o Registro Digital dos Votos, o Teste de Invasão Externa e a Biometria
Falso – a assinatura digital é sempre conferida partindo do próprio software da urna (mesmo quando se usa um programa auxiliar externo) e o Registro Digital dos Votos também é criado por este mesmo software. Portanto, são técnicas totalmente DEPENDENTES DO SOFTWARE e NÃO ATENDEM ao moderno conceito de Auditoria Independente do Software das urnas.
Já o teste de invasão é útil para defender o sistema contra ataques externos mas não serve para defender contra ataques internos, os mais nocivos.
E a biometria do eleitor é para impedir que alguem vote no lugar de outro, portanto, a biometria não defende o eleitor de adulteração do software da urna.


- uma experiência em 2002 teria mostrado que o voto impresso causa transtornos
Falso – por exigência da OEA, na Venezuela é usado o voto impresso conferido pelo eleitor sem maiores problemas desde 2004. Os transtornos ocorridos na experiência de 2002 no Brasil apenas demonstram que o administrador eleitoral não soube projetar esta forma nova de votar. Ocorreu falta de treinamento do eleitor, que não foi avisado das diferenças de votar em máquinas com voto impresso.


- vai custar muito caro
Falso – o TSE já está planejando comprar 500 mil novas urnas com biometria para substituir as atuais. Para adaptá-las à Auditoria Independente do Software basta criar um visor para que o eleitor possa conferir e confirmar o votoimpresso. O custo para isto é baixo. Certamente, o custo da Auditoria Independente do Software é dezenas de vezes MENOR que o custo da biometria, que o TSE já está implantando antes mesmo de ter autorização legislativa;
A tecnologia de impressão evoluiu e está consistente. A impressão de documentos é largamente usada 24 horas por dia sem restrições nos caixas eletrônicos;

sexta-feira, 11 de setembro de 2009

Urnas eletrônicas - uma avanço afinal


Finalmente temos uma luz no fim do túnel. O TSE resolveu permitir testes de segurança nas urnas eletrônicas brasileiras. Embora ainda coloque restrições que vão dificultar os testes e reduzir a qualidade dos resultados obtidos nos testes, esta nova posição do TSE é um avanço significativo e bem vindo.

O TSE vai permitir que pesquisadores tenham acesso às urnas para a execução de testes de segurança. No entanto, mantém uma série de restrições que vãorestringir a eficácia dos testes:
  • não haverá acesso ao código fonte
  • o plano de testes deverá ser submetido com antecedência e não poderá ser alterado
  • o prazo para a realização dos testes é de apenas alguns dias
  • os testes deverão ser realizados no ambiente do TSE, o que restringe a liberdade de ação dos pesquisadores.
Ou seja, tivemos um avanço mas ainda temos muito a avançar. A abertura total do código fonte das urnas é a única forma de dar a transparência necessária ao processo eleitoral. Por outro lado, podemos ver que, embora lentamente, o TSE está evoluindo...

quarta-feira, 2 de setembro de 2009

AppSec Brasil - Grade de apresentações

Finalmente as grades das apresentações e dos mini-cursos estão prontas e publicadas no site do evento, juntamente com os resumos. Assim considero que a fase de definição do conteúdo está terminada. Temos agora que colocar no ar a página de inscrições e terminar o material de divulgação.

domingo, 16 de agosto de 2009

AppSec Brasil - palestras e mini-cursos

Com uma semana de atraso, conseguimos fechar a primeira versão grade de palestras e mini-cursos. Pedimos confirmação para todos os autores das propostas aprovadas para que possamos confirmar esta versão da grade.

Ainda não comunicamos aos demais autores, por considerarmos que eles estão em uma lista de espera. O seja, se as propostas que se classificaram no topo da lista não forem confirmadas, vamos chamar os seguintes, na ordem definida pelo comitê de programa. Assim consideramos que ninguém foi desclassificado ainda.

Quando tivermos a grade completa, vamos então poder avisar aos que não foram selecionados.

Com relação aos mini-cursos, já temos 3 deles definidos e colocados na página do evento. Temos mais 2 a serem confirmados, que publicaremos assim que recebermos a confirmação.

domingo, 2 de agosto de 2009

AppSec Brasil - novidades

Pra quem não está acompanhando a página do AppSec Brasil, temos algumas novidades. A primeira é que os prazos para submissão de trabalhos se encerraram e o comitê já está trabalhando na seleção das palestras e cursos. Esperamos ter o resultado da seleção na próxima sexta, dia 7/8.

Outro aspecto é que estamos quase confirmando o espaço que teremos para os mini-cursos. Assim, acredito que na sexta já poderemos anunciar os mini-cursos escolhidos e a quantidade de vagas que teremos para cada um.

Já colocamos na página também a lista final de keynotes:
  1. Gary McGraw (The Building Security In Maturity Model, BSIMM)
  2. Jason Li e Jerry Hoff (Agile and Secure: Can We Do Both?)
  3. Diniz Cruz
  4. Kuai Hinojosa (Deploying Secure Web Applications with OWASP Resources)
As coisas estão andando (devagar, mas estão). Assim que tiver novidades, posto novamente.

sexta-feira, 10 de julho de 2009

AppSec Brasil - segundo Keynote

Finalmente confirmamos o segundo keynote: Jason Li, com a palestra "Agile and Secure: Can We Do Both?"

Ele deve vir com o co-autor do trabalho, Jerry Hoff, e talvez ministrem mini-cursos também. Excelente notícia...

terça-feira, 7 de julho de 2009

AppSec Brasil - última semana

Esta é a última semana para o envio de propostas de palestras e/ou cursos para o AppSec Brasil 2009. Quem tiver interesse deve se apressar.

Os detalhes das chamadas de trabalhos estão na página do evento.

Os temas de interesse são:
  • Modelagem de ameaças em aplicações (Application Threat Modeling)
  • Riscos de Negócio em Segurança de aplicações (Business Risks with Application Security)
  • Aplicações de Revisões de Código (Hands-on Source Code Review)
  • Métricas Aplicadas a Segurança de Aplicações (Metrics for Application Security)
  • Ferramentas e Projetos do OWASP (OWASP Tools and Projects)
  • Tópicos de Privacidade em Aplicações e Armazenamento de Dados (Privacy Concerns with Applications and Data Storage)
  • Práticas de Programação Segura (Secure Coding Practices)
  • Programas de Segurança para todo o Ciclo de Vida de alicações (Secure Development Lifecycle Programs)
  • Tópicos de Segurança para tecnologias específicas (AJAX, XML, Flash, etc) (Technology specific presentations on security such as AJAX, XML, etc)
  • Controles de Segurança para aplicações Web (Web Application Security countermeasures)
  • Testes de Segurança de aplicações Web (Web Application Security Testing)
  • Segurança de Web Services ou XML (Web Services-, XML- and Application Security)

quinta-feira, 4 de junho de 2009

AppSec Brasil - primeiro keynote

Não conseguimos o Scheneier... Ele acabou não aceitando participar como keynote. Mas por outro lado, acabo de receber a confirmação de que o Gary McGraw topou ser um dos keynotes do evento. Pra quem não sabe, ele é o autor do maior best seller da área de segurança de aplicações. Eu já comentei sobre esse livro no passado.

Também divulgamos a chamada de treinamentos do AppSec.

terça-feira, 12 de maio de 2009

OWASP AppSec Brasil - keynote e patrocínio

Como eu já disse em post anterior, já estamos tentando fechar os keynotes para a conferência. O Schneier já está quase certo. Só falta conseguirmos passagens de classe executiva para ele. Ontem fiquei sabendo que o David Rice (do Geekonomics) está na mesma situação.

Além disso, ontem ficamos sabendo que vamos poder ter o apoio de empresas e entidades privadas no evento. Então agora estamos procurando quem queira apoiar o evento e colocar seu logo no material a ser distribuido. Em especial, estamos procurando empresas que se disponam a pagar as passagens de classe executiva aos keynotes. Se você souber de alguém que possa nos ajudar, por favor entre em contato comigo.

domingo, 10 de maio de 2009

AppSec Brasil - novidades

As coisas evoluiram desde o meu último post. O AppSec Brasil agora é uma realidade, e estamos avançando na organização do evento.

As últimas notícias são: primeiro, estamos com a chamada de trabalhos pronta. Vamos começar a divulgar em listas de discussão ainda esta semana (na segunda se der tudo certo).

Uma outra boa notícia é que estamos com uma excelente possibilidade de fecharmos o Bruce Scheneier (sim, aquele que bate o Chuck Norris :-) como keynote. Faltam alguns detalhes ainda pra podermos anunciar oficialmente, mas eu tenho esperança que vamos conseguir uma definição em breve.

quarta-feira, 29 de abril de 2009

Uma resposta, finalmente

Hoje finalmente tivemos uma resposta do OWASP. E, com muito orgulho, podemos anunciar que teremos a primeira OWASP AppSec Brasil em outubro.

E tudo isso graças ao Eduardo Camargo Neves, que insitiu e fez inúmeros contatos com pessoas influentes no OWASP. Um excelente trabalho de bastidores.

Em breve teremos mais novidades. Fique ligado.

Update:
A página da conferência já está em construção.

segunda-feira, 27 de abril de 2009

AppSec sem OWASP

Bom, meus últimos posts foram sobre a realização de uma conferência OWASP AppSec no Brasil. A má notícia é que não conseguimos o apoio do OWASP para esta conferência. Por outro lado, a boa notícia é que, dado que temos o apoio da Câmara dos Deputados e de outros órgãos do governo, vamos fazer a conferência assim mesmo.

Como já postei algumas vezes aqui no blog, estamos desde o final de 2008 tentando viabilizar esta conferência. Fizemos inúmeros contatos com instituições que poderiam abrigar o evento e finalmente conseguimos o apoio do Centro de Informática da Câmara dos Deputados. Antes disso, já tínhamos conversado com algumas pessoas do OWASP sobre a conferência e parecia que contaríamos com o apoio do OWASP. Depois que conseguimos fechar o apoio e as datas, fizemos o pedido formal ao OWASP sobre a conferência.

De início, sentimos um pouco de má-vontade, mas insistimos assim mesmo. Mandamos a documentação e os esclarecimentos pedidos e ficamos esperando. Ainda estamos esperando uma resposta, apesar dos emails pedindo uma posição.

Decidimos então continuar o processo assim mesmo, já que temos o que consideramos o mais importante: patrocínio, local e datas. Assim, vamos anunciar formalmente a Conferência Internacional de Segurança de Aplicações. Vamos, ainda esta semana, lançar as chamadas de trabalho e convidar os keynotes.

Se algum dia o OWASP decidir que tem interesse no Brasil, re-iniciamos a conversa com eles. É uma pena porque achávemos que seria uma oportunidade ímpar de divulgar uma associação que produz muito material de qualidade.

terça-feira, 14 de abril de 2009

OWASP AppSec - mais apoio

Novidades no front. Tivemos uma reunião hoje com o grupo chamado TI-Controle, que congrega diversos órgãos que tem atribuições de controle (interno ou externo) das três esferas de governo. 

Parece que vamos conseguir o apoio do bloco para o evento. Se rolar, vamos poder fazer um evento ainda melhor. Ainda falta formalizar a proposta e o apoio do grupo, mas há bastante interesse num evento do tipo.

Aos poucos, vou potar aqui as novidades que aparecerem. Fique ligado.

segunda-feira, 6 de abril de 2009

OWASP AppSec em Brasília

Bom, depois de muito trabalho nos bastidores, finalmente podemos anunciar que a primeira edição de um OWASP AppSec no Brasil será este ano. E será em Brasília.

Conseguimos o apoio da Câmara dos Deputados para a realização do evento, e pretendemos fazer um evento de altíssimo nível, com palestrantes internacionais de renome. Vamos favorecer palestras mais longas para permitir um melhor desenvolvimento dos temas, que devem tocar os mais diversos aspectos da área de segurança de aplicações.

As datas para a conferência serão 29 e 30 de outubro. Pretendemos também contar com mini-cursos nos dois dias anteriores.

E um item muito especial: graças ao apoio do Centro de Informática da Câmara dos Deputados, o evento será gratuito, bastando a inscrição para garantir seu lugar.

Mais informações na página do evento no site do OWASP: http://www.owasp.org/index.php/AppSec_CPLP_2009_(pt-br)

quarta-feira, 1 de abril de 2009

OpenSAMM

Como eu fiz um post só pra falar no BSIMM, me sinto na obrigação de fazer o mesmo pelo OpenSAMM, que tem objetivo similar e foi desenvolvido pelo OWASP.

Mais detalhes em http://www.opensamm.org/

quinta-feira, 19 de março de 2009

Vulnerabilidades de sistemas web são maioria

A Cenzic divulgou um seu relatório de segurança de aplicações web do segundo semestre de 2008.

Meu impressionaram algum números:
  • 80% das ulnerabilidades publicadas são relativas à web, incluindo browsers, plugins e sites.
  • Desse 79% estão presentes em aplicações web propriamente ditas.
  • Os principais problemas das aplicações web ainda são, nesta ordem:
    • SQL injection
    • DoS
    • Cross-site Scripting
  • CRSF ainda foi uma parcela bem pequena das vulnerabilidades relatadas
Por outro lado, não foi surpresa ver ActiveX e Javascript como grandes vetores de problemas. Fora a dificuldade de controlar o ambiente de execução, também a complexidade em se testar sistemas com grandes funcionalidades implementadas no cliente, como AJAX a ActiveX.

O relatório tem mais dados e vale a pena ser lido por quem lida com sistemas web.

quarta-feira, 11 de março de 2009

Whirlpool

Eu venho recomendando o uso da função de hash Whirlpool já tem algum tempo. Eu tinha dois motivos pra isso:
  1. Um dos autores desse hash é brasileiro (prof. Paulo Barreto da USP)
  2. É uma função que tem uma estrutura completamente diferente da estrutura das funções MD5 e SHA, que estão sendo quebradas aos poucos.
Infelizmente, hoje eu recebi o email abaixo:

Prezad@s,

Alguns de vocês (ou tod@s) já devem ter ouvido falar do ataque recentemente publicado por Rechberger et al. no FSE contra 7.5 das 10 rodadas do Whirlpool, superando o melhor ataque anteriormente conhecido (contra 7 rodadas) mencionado na especificação da função (NESSIE workshop, 2000).

Esse ataque, conquanto inefetivo em si, abre caminho a novos aperfeiçoamentos que poderiam, em princípio, alcançar a função inteira, uma vez que seu custo é muito baixo em comparação com força bruta ou paradoxo do aniversário (2^143 passos).

Estou acompanhando com Vincent Rijmen, o outro autor da função, os desenvolvimentos relativos ao Whirlpool, e achamos prudente alertar a comunidade a respeito mesmo na ausência de resultados concretos mais expressivos de criptoanálise contra essa função de hash.

Desta maneira, *é nossa recomendação que o Whirlpool NÃO seja utilizado em novas aplicações* na medida do possível.

Abraços,

Paulo Barreto.
Assim, nada me resta a não ser acatar a recomendação dos próprios autores e deixar de recomendar o uso da função Whirlpool. Agora resta-nos aguardar o SHA-3...

Update:
Recebi outro email do Paulo Barreto com mais explicações:
Prezad@s,

Tenho recebido comentários sobre o "fato de Whirlpool" ter sido quebrado, ou "estar em vias de". Gostaria de esclarecer que, até onde eu sei (e tenho acompanhado de perto o assunto), (1) Whirlpool *não* foi quebrado, (2) *não* se conhece maneira de quebrar melhor que paradoxo do aniversário e força bruta, (3) os autores da função *não* temos ideia de como estender o ataque rebote ou qualquer outro contra Whirlpool a curto prazo, e (4) ainda temos a opinião de que, por tudo o que se sabe de criptoanálise de funções de hash, Whirlpool continua mais seguro que a família SHA inteira, inclusive as funções SHA-2.

Deixar de recomendar o uso da função em novas aplicações é uma precaução justificada pela perspectiva do futuro SHA-3, exatamente na mesma medida em que o processo do SHA-3 é uma precaução do NIST relativa à situação da família SHA.

Abraços,

Paulo Barreto.

Ou seja, o Whirlpool ainda pode ser uma opção para esperar o SHA-3. A verdade é que até a escolha do SHA-3, estaremos numa situação meio nebulosa, já que os padrões de fato e de direito estão todos sob suspeita.

Recebi alguns questionamentos sobre deixar de recomendar o Whirlpool já que este ainda seria mais seguro que muitas funções de hash usadas por aí (incluindo SHA-2). Meu posicionamento é que, se os autores da função deixam de recomendar o uso da função, eu humildemente acato esta posição. É muito louvável que os autores sejam precavidos e considero este um gesto a ser aplaudido e seguido. Não tenho a pretensão de desabonar o trabalho de quem quer que seja.

Meu problema agora é achar outra função que valha a pena ser recomendada.

quinta-feira, 5 de março de 2009

BSIMM

Algum tempo depois de ser anunciado como work in progress, finalmente saiu a primeira versão do Build Security In Maturity model: http://www.bsi-mm.com/.

A idéia é gerar uma espécie de CMM para medir a maturidade das organizações na área de segurança de aplicações. Tomara que dê certo...

terça-feira, 20 de janeiro de 2009

Livros


Já faz um tempo que estou devendo um comentário sobre alguns livros que li no final do ano. Então vamos lá...

O primeiro que terminei foi o Software Security: Building Security In, do Gary McGraw. Acho que nem preciso falar que este é o mais conhecido livro de segurança de aplicações. E o livro tem seus méritos.

Primeiro porque tem um tratamento independente de processos (ou process agnostic, nas palavras do autor), o que o torna útil em qualquer ambiente de desenvolvimento. Segundo porque dá forma (ou seja, inicia o processo de formalizar) à área e propõe uma maneira de organizar as prática de segurança de aplicações.

Este talvez seja o maior mérito deste livro: organizar a ciência da construção de aplicações seguras ao definir as práticas mais importantes. Para manter a independência de processos, o livro foca nos produtos de um projeto de desenvolvimento, como código, arquitetura, etc. Com isto, ganha-se na aplicabilidade, com recomendações facilmente aplicáveis. Felizmente não é um daqueles livros que são tão genéricos que no final fica a dúvida de como a coisa realmente funciona: o livro contém inclusive um roteiro mostrando por onde começar.

Enfim, é um livro voltado para gerentes de projeto ou equipes de processo, mas cada desenvolvedor lucra também se aplicar algumas das técnicas apresentadas por si mesmo. É leitura obrigatória pra quem se interessa por segurança de aplicações ou para quem tem interesse em fazer software mais seguro.

A outra leitura interessante foi o Stardust, do Gaiman.