sábado, 26 de setembro de 2009

AppSec Brasil - cahamada para participação

AppSec Brasil 2009

CHAMADA PARA PARTICIPAÇÃO

Conferência internacional de Segurança de Aplicações, organizada e promovida pela comunidade TI-controle e pelo Centro de Informática da Câmara dos Deputados, em parceria com o OWASP, Capítulo brasil, e com apoio da Universidade de Brasília (UnB).

O Centro de Informática da Câmara dos Deputados e a Comunidade TI-Controle convidam a todos a participarem da Conferência Internacional de Segurança de Aplicações (AppSec Brasil 2009), que ocorrerá na Câmara dos Deputados (Brasília, DF) de 27 a 30 de outubro de 2009.

Haverão mini-cursos nos dias 27 e 28 de outubro, seguidos de sessões plenárias de trilha única nos dias 29 e 30 de outubro de 2009.

Keynotes

Dr. Gary McGraw, CTO da Cigital

O Modelo de Maturidade Building Security In (BSIMM)


Jason Li, Aspect Security

Ágil e Seguro: É possível fazer os dois?


Dinis Cruz, OWASP Board

Apresentação do Projeto OWASP


Kuai Hinojosa, NY University e OWASP

Implementando Aplicações Web Seguras Usando Recursos do OWASP


Palestras

A Conferência contará com palestras técnicas que tratarão diversos aspectos de Segurança de Aplicações. Os temas incluem:

  • Segurança de aplicações web
  • Otimização de gastos com segurança
  • SQL Ownage
  • ferramentas.


Mini-cursos

A Conferência contará também com 5 mini-cursos:

  • Gestão de Riscos de Segurança Aplicada a Web Services
  • Segurança Web: Técnicas para Programação Segura de Aplicações
  • Segurança Computacional no Desenvolvimento de Web Services
  • Tecnologias de Segurança em Web Services
  • Hands on Web Application Testing using the OWASP Testing Guide.


Local

A Conferência ocorrerá na Câmara dos Deputados, em Brasília. As plenárias serão no auditório Nereu Ramos, no Anexo II e os mini-cursos serão no Centro de Formação, Treinamento e Aperfeiçoamento.


Inscrições

A participação na Conferência será gratuita, mas, devido à limitação de lugares, será necessário inscrever-se previamente.

As inscrições estarão abertas a partir do dia 29/10/2009 na URL: http://www.camara.gov.br/appsecbrasil2009


Informações

Para maiores informações, favor consultar os sites abaixo ou enviar email para appsec.brasil@camara.gov.br

Inscrições e informações sobre a conferência: http://www.camara.gov.br/appsecbrasil2009

Comunidade TI-Controle: http://www.ticontrole.gov.br
Câmara dos Deputados: http://www.camara.gov.br

segunda-feira, 21 de setembro de 2009

Minirreforma eleitoral

Recebi recentemente o email abaixo, que copio para ajudar na divulgação.

From: Amilcar Brunazo Filho
Subject: Minirreforma Eleitoral - veto ao Art. 5º

Eleitores e eleitoras brasileiros,

Esta mensagem está lhe sendo enviada para lembrar a importância da Auditoria Independente do Software nas Urnas Eletrônicas, criada pelo Art. 5º da minirreforma eleitoral recem-aprovada no Congresso Nacional.

Os argumentos técnicos a favor deste dispositivo legal estão apresentados ao final.

O Min. Gilmar Mendes (que soltou o banqueiro Daniel Dantas) e o Min. Nelson Jobim (que confessou ter fraudado a Constituição) já anunciaram que vão ao Presidente Lula pedir para vetar este artigo 5º, porque, por um motivo ou outro, preferem manter o eleitor brasileiro sob tutela e sem que tenha acesso a uma forma simples de auditoria do resultado eleitoral.

Se você, como nós, acha importante que o resultado dos votos em nossas urnas eletrônicas possa ser conferido de uma maneira simples e facilmente compreensível e que não dependa de complicadas e obscuras tecnologias, solicitamos que repasse cópia desta mensagem a todos os seus conhecidos: eleitores, políticos e jornalistas.

Temos até o dia 30 de setembro para convencer o Presidente Lula a não vetar o Art. 5º da minirreforma eleitoral.

Grato por sua atenção,

  Fórum do Voto Eletrônico
www.votoseguro.org
-----------------
SEI EM QUEM VOTEI,
ELES TAMBÉM,
MAS SÓ ELES SABEM QUEM RECEBEU MEU VOTO

-----------------------------------------------------------
Minirreforma Eleitoral - Artigo 5º

A Importância da Auditoria Independente do Software nas Urnas Eletrônicas

O Brasil já foi pioneiro em tecnologia eleitoral mas, passados 13 anos da chegada das urnas eletrônicas, estamos ficando para trás.

Nossas urnas eletrônicas foram rejeitadas por mais de 50 países que vieram conhecê-las porque não oferece uma forma de conferir seu resultado de forma efetiva e simples.

O Art. 5º da minirreforma eleitoral alinha o Brasil com todos os demais países que estão modernizando suas eleições pela adoção do moderno conceito de Auditoria Independente do Software das Urnas Eletrônicas.

Este conceito foi proposto pelo mesmo inventor da técnica de Assinatura Digital, Ph.D. Ronald Rivest, depois que compreendeu que só a assinatura digital não consegue garantir a integridade do resultado de urnas eletrônicas.

A Auditoria Independente do Software se dá por meio da recontagem do Voto Impresso Conferido Pelo Eleitor em 2% das urnas eletrônicas sorteadas ao final.

A Auditoria Independente do Software cria uma forte defesa do eleitor contra fraudes internas no software das urnas eletrônicas, o que não ocorre com as atuais formas existentes de auditoria como assinaturas digitais, registros digitais do voto, testes de invasão externa e biometria do eleitor.

A Auditoria Independente do Software já foi ou está sendo adotada como padrão exigido em países como: EUA, Alemanha, Holanda,Reino Unido e, na América Latina, na Venezuela, na Argentina e no México.

Ninguém mais aceita máquinas eletrônicas de votar sem materialização do voto e sem auditoria independente.


Os erros nos argumentos contra a Auditoria Independente do Software


Nasce dos administradores eleitorais do Brasil uma forte resistência contra a Auditoria Independente do Software e pedem para que o Presidente Lula o vete o Art. 5º da minirreforma eleitoral.

Mas seus argumentos contêm erros como os seguintes:

- o voto impresso trará de volta as fraudes do voto manual
Falso – voto impresso conferido pelo eleitor difere do voto manual e não tem as mesmas fragilidades. Não será levado pelo eleitor para fora da seção eleitoral e estará sempre relacionado a um voto digital de forma que um serve de controle do outro. Se um voto impresso for adulterado o voto digital acusará e vice-versa. A fraude será sempre detectada;


- existem formas mais modernas de auditoria como Assinaturas Digitais, o Registro Digital dos Votos, o Teste de Invasão Externa e a Biometria
Falso – a assinatura digital é sempre conferida partindo do próprio software da urna (mesmo quando se usa um programa auxiliar externo) e o Registro Digital dos Votos também é criado por este mesmo software. Portanto, são técnicas totalmente DEPENDENTES DO SOFTWARE e NÃO ATENDEM ao moderno conceito de Auditoria Independente do Software das urnas.
Já o teste de invasão é útil para defender o sistema contra ataques externos mas não serve para defender contra ataques internos, os mais nocivos.
E a biometria do eleitor é para impedir que alguem vote no lugar de outro, portanto, a biometria não defende o eleitor de adulteração do software da urna.


- uma experiência em 2002 teria mostrado que o voto impresso causa transtornos
Falso – por exigência da OEA, na Venezuela é usado o voto impresso conferido pelo eleitor sem maiores problemas desde 2004. Os transtornos ocorridos na experiência de 2002 no Brasil apenas demonstram que o administrador eleitoral não soube projetar esta forma nova de votar. Ocorreu falta de treinamento do eleitor, que não foi avisado das diferenças de votar em máquinas com voto impresso.


- vai custar muito caro
Falso – o TSE já está planejando comprar 500 mil novas urnas com biometria para substituir as atuais. Para adaptá-las à Auditoria Independente do Software basta criar um visor para que o eleitor possa conferir e confirmar o votoimpresso. O custo para isto é baixo. Certamente, o custo da Auditoria Independente do Software é dezenas de vezes MENOR que o custo da biometria, que o TSE já está implantando antes mesmo de ter autorização legislativa;
A tecnologia de impressão evoluiu e está consistente. A impressão de documentos é largamente usada 24 horas por dia sem restrições nos caixas eletrônicos;

sexta-feira, 11 de setembro de 2009

Urnas eletrônicas - uma avanço afinal


Finalmente temos uma luz no fim do túnel. O TSE resolveu permitir testes de segurança nas urnas eletrônicas brasileiras. Embora ainda coloque restrições que vão dificultar os testes e reduzir a qualidade dos resultados obtidos nos testes, esta nova posição do TSE é um avanço significativo e bem vindo.

O TSE vai permitir que pesquisadores tenham acesso às urnas para a execução de testes de segurança. No entanto, mantém uma série de restrições que vãorestringir a eficácia dos testes:
  • não haverá acesso ao código fonte
  • o plano de testes deverá ser submetido com antecedência e não poderá ser alterado
  • o prazo para a realização dos testes é de apenas alguns dias
  • os testes deverão ser realizados no ambiente do TSE, o que restringe a liberdade de ação dos pesquisadores.
Ou seja, tivemos um avanço mas ainda temos muito a avançar. A abertura total do código fonte das urnas é a única forma de dar a transparência necessária ao processo eleitoral. Por outro lado, podemos ver que, embora lentamente, o TSE está evoluindo...

quarta-feira, 2 de setembro de 2009

AppSec Brasil - Grade de apresentações

Finalmente as grades das apresentações e dos mini-cursos estão prontas e publicadas no site do evento, juntamente com os resumos. Assim considero que a fase de definição do conteúdo está terminada. Temos agora que colocar no ar a página de inscrições e terminar o material de divulgação.