segunda-feira, 9 de agosto de 2010

OWASP AppSec Brasil 2010 - Últimas

Andei meio ausente e muita coisa mudou no AppSec Brasil 2010. A mudança mais importante foi a troca de keynotes: o Bruce Schneier mandou um email nos avisando que não poderia vir ao evento, sem maiores explicações sobre os motivos. Foi estranho porque menos de uma semana antes ele tinha perguntado se poderíamos lhe dar uma cortesia para convidar uma pessoa para participar do evento.

A primeira reação foi totalmente calculada: Pânico total... Na hora que tudo estava se ajeitando, perdemos o nosso principal keynote. Depois do pânico, retornamos ao processo de convite e rapidamente tivemos sucesso. O Robert 'RSnake' Hansen aceitou o convite. Assim, teremos dois ótimos keynotes técnicos e mais afinados com o OWASP.

Fora isso, a chamada de trabalhos continua aberta por mais uma semana. Já estamos recebendo as propostas no site de submissões.

Os treinamentos já estão definidos e serão anunciados ainda esta semana. A grade de treinamentos está com excelente qualidade de treinamentos em inglês e português.

Pretendemos também ter o formulário de inscrições no ar na semana que vem.

sábado, 24 de julho de 2010

OWASP AppSec Brasil 2010 - Chamada de trabalhos



A chamada de trabalhos do OWASP AppSec Brasil 2010, foi divulgada. O texto completo segue abaixo:


APPSEC BRASIL 2010
CHAMADA DE TRABALHOS
O OWASP (Open Web Application Security Project) solicita propostas de apresentações para a conferência AppSec Brasil 2010, que ocorrerá na Fundação CPqD em Campinas, SP, de 16 a 19 de novembro de 2010. Haverá mini-cursos nos dias 16 e 17, seguidos de sessões plenárias de trilha única nos dias 18 e 19 de novembro de 2010.
Buscamos pessoas e organizações que queiram ministrar palestras sobre segurança de aplicações. Em particular destacamos os seguintes tópicos de interesse:
  • Modelagem de ameaças em aplicações (Application Threat Modeling)
  • Riscos de Negócio em Segurança de aplicações (Business Risks with Application Security)
  • Aplicações de Revisões de Código (Hands-on Source Code Review)
  • Métricas Aplicadas a Segurança de Aplicações (Metrics for Application Security)
  • Ferramentas e Projetos do OWASP (OWASP Tools and Projects)
  • Tópicos de Privacidade em Aplicações e Armazenamento de Dados (Privacy Concerns with Applications and Data Storage)
  • Práticas de Programação Segura (Secure Coding Practices)
  • Programas de Segurança para todo o Ciclo de Vida de aplicações
  • (Secure Development Lifecycle Programs)
  • Tópicos de Segurança para tecnologias específicas (AJAX, XML, Flash, etc) (Technology specific presentations on security such as AJAX, XML, etc)
  • Controles de Segurança para aplicações Web (Web Application Security countermeasures)
  • Testes de Segurança de aplicações Web (Web Application Security Testing)
  • Segurança de Web Services ou XML (Web Services, XML and Application Security)
A lista de tópicos não é exaustiva; outros tópicos podem ser abordados, desde que em consonância com o tema central do evento.

Para submeter uma proposta, preencha o formulário disponível em http://www.owasp.org/images/6/68/OWASP_AppSec_Brasil_2010_CFP%28pt-br%29.rtf.zip, que deve ser enviado através da página da conferência no site Easychair: http://www.easychair.org/conferences/?conf=appsecbr2010
Cada apresentação terá 45 minutos de duração, seguidos de 10 minutos para perguntas da platéia. Todas as apresentações deverão estar em conformidade com as regras definidas pelo OWASP em seu “Speaker Agreement”.


Datas importantes:
  • A data limite para apresentação de propostas é 17 de agosto de 2010 às 23:59, horário de Brasília.
  • A notificação de aceitação ocorrerá até o dia 8 de setembro de 2010.
  • A versão final das apresentações deverá ser enviada até o dia 30 de setembro de 2010.
A comissão organizadora da conferência pode ser contactada pelo e-mail: organizacao2010@appsecbrasil.org

Para mais informações, favor consultar as seguintes páginas:
ATENÇÃO: Não serão aceitas propostas sem TODAS as informações solicitadas no formulário

Favor divulgar a todos os possíveis interessados.

segunda-feira, 7 de junho de 2010

AppSec Brasil 2010: Chamada de treinamentos

**APPSEC BRASIL 2010**
**CHAMADA DE MINI-CURSOS**

O OWASP (Open Web Application Security Project) solicita propostas de apresentações para a conferência AppSec Brasil 2010, que ocorrerá na Fundação CPqD em Campinas, SP, de 16 a 19 de novembro de 2010. Haverá mini-cursos nos dias 16 e 17, seguidos de sessões plenárias de trilha única nos dias 18 e 19 de novembro de 2010.

Buscamos pessoas e organizações que queiram ministrar mini-cursos sobre segurança de aplicações. Destacamos os seguintes tópicos de interesse:
  - Modelagem de ameaças em aplicações (Application Threat Modeling)
  - Riscos de Negócio em Segurança de aplicações (Business Risks with Application Security)
  - Aplicações de Revisões de Código (Hands-on Source Code Review)
  - Métricas Aplicadas a Segurança de Aplicações (Metrics for Application Security)
  - Ferramentas e Projetos do OWASP (OWASP Tools and Projects)
  - Tópicos de Privacidade em Aplicações e Armazenamento de Dados (Privacy Concerns with Applications and Data Storage)
  - Práticas de Programação Segura (Secure Coding Practices)
  - Programas de Segurança para todo o Ciclo de Vida de aplicações (Secure Development Lifecycle Programs)
  - Tópicos de Segurança para tecnologias específicas (AJAX, XML, Flash, etc) (Technology specific presentations on security such as AJAX, XML, etc)
  - Controles de Segurança para aplicações Web (Web Application Security countermeasures)
  - Testes de Segurança de aplicações Web (Web Application Security Testing)
  - Segurança de Web Services ou XML (Web Services, XML and Application Security)

A lista de tópicos não é exaustiva; outros tópicos podem ser abordados, desde que em consonância com o tema central do evento.

Para submeter uma proposta, preencha o formulário disponível em http://www.owasp.org/images/4/43/OWASP_AppSec_Brasil_2010_CFT%28pt-br%29.rtf.zip, que deve ser enviado por email para organizacao2010@appsecbrasil.org.

Cada mini-curso poderá ter 1 ou 2 dias (8 horas por dia) de duração e deverão estar em conformidade com as regras definidas pelo OWASP em seu "Speaker Agreement". A conferência pagará aos instrutores pelo menos 30% do fatuamente de seus mini-cursos. Cursos que consigam atrair mais que o número mínimo de alunos poderão receber percentagens maiores (mais detalhes abaixo). Não haverá qualquer outro tipo de remuneração (passagens, hospedagem, etc) para os apresentadores ou autores dos mini-cursos. Caso seja necessário um arranjo diferente, favor entrar em contacto com o comitê organizador pelo email abaixo.

**Remuneração**
  Os instrutores e autores dos cursos serão remunerados conforme a quantidade de alunos. Se o curso atrair apenas o número mínimo de alunos, a remuneração será 30% do faturamento. Para cada 10 alunos a mais, a remuneração será acrescida de 5% do faturamento, até um máximo de 45% do faturamento do curso. Por exemplo, para um curso de 1 dia para uma turma de 10 a 19 alunos, os instrutores e autores receberão 30% do faturamento do curso. Para turmas entre 20 e 29 alunos, a remuneração sobe para 35% do faturamento e assim sucessivamente.

Em casos excepcionais, poderá ser acordado um esquema diferente para remuneração dos instrutores. Possíveis interessados devem entrar em contacto com a comissão organizadora pelo email organizacao2010@appsecbrasil.org

**Valores das inscrições**
  Cursos de 1 dia:  R$ 450 por aluno
  Cursos de 2 días: R$ 900 por aluno

**Mínimo de alunos**
  10 alunos para cursos de 1 dia
  20 alunos para cursos de 2 dias

**Datas importantes:**
  A data limite para apresentação de propostas é 26 de julho de 2010 às 23:59, horário de Brasília.
  A notificação de aceitação ocorrerá até o dia 16 de agosto de 2010.
  A versão final do material dos mini-cursos deverá ser enviada até o dia 15 de setembro de 2010.

A comissão organizadora da conferência pode ser contactada pelo e-mail: organizacao2010@appsecbrasil.org

Para mais informações, favor consultar as seguintes páginas:
 Página da conferência: http://www.owasp.org/index.php/AppSec_Brasil_2010_(pt-br)
 OWASP Speaker Agreement (em inglês): http://www.owasp.org/index.php/Speaker_Agreement
 Página do OWASP: http://www.owasp.org
 Página da conferência no Easychair: http://www.easychair.org/conferences/?conf=appsecbr2010
 Formulário para apresentação de propostas: http://www.owasp.org/images/4/43/OWASP_AppSec_Brasil_2010_CFT%28pt-br%29.rtf.zip

********* ATENÇÃO: Não serão aceitas propostas sem TODAS as informações solicitadas no formulário *********

Favor divulgar a todos os possíveis interessados.

segunda-feira, 19 de abril de 2010

OWASP Top 10 2010

O OWASP lançou hoje a versão 2010 do OWASP Top 10, a lista dos 10 riscos mais significativos para aplicações web. Segue o press release:

---------

FOR IMMEDIATE RELEASE:

OWASP TOP 10 FOR 2010 RELEASED

Will You Help Us Reach Every Web Developer in the World?

Columbia, MD 4/19/2010 —

Since 2003, application security researchers and experts from all over the world at the Open Web Application Security Project (OWASP) have carefully monitored the state of web application security and produced an awareness document that is acknowledged and relied on by organizations worldwide, including the PCI, DOD, FTC, and countless others.

Today, OWASP has released an updated report capturing the top ten risks associated with the use of web applications in an enterprise. This colorful 22 page report is packed with examples and details that explain these risks to software developers, managers, and anyone interested in the future of web security. Everything at OWASP is free and open to everyone, and you can download the latest OWASP Top 10 report for free at:

http://www.owasp.org/index.php/Top_10

Dave Wichers, OWASP Board member and COO of Aspect Security, has managed the project since its inception. “This year we have revamped the Top 10 to make it clear that we are talking about risks, not just vulnerabilities. Attempts to prioritize vulnerabilities without context just don’t make sense. You can’t make proper business decisions without understanding the threat and impact to your business.” This new focus on risks is intended to lead organizations to more mature understanding and management of application security across their organization.

The time has come to get application security awareness out of the security community and directly to the people who need to know it most. This year, our audacious goal is to get the OWASP Top 10 into the hands of every web developer in the world – but we need your help. We ask anyone reading this; would you be willing to do one simple thing to help protect the future of the Internet? If you know people who write code for the web, could you forward them the OWASP Top 10 and ask them kindly…

---------------------------------------------------

Are you familiar with all of the risks in the OWASP Top 10?

Will you make a commitment today to protect your code against the OWASP Top 10?

---------------------------------------------------

For too long, many organizations have relied exclusively on an occasional scan or penetration test to gain assurance for their internal and external web applications. This approach is expensive and doesn't provide much in the way of coverage. Like other types of security, application security requires a risk management program that provides visibility across the entire portfolio and strategic controls to improve security. If your organization is ready to tackle application security, there are dozens of free books, tools, projects, forums, mailing lists, and more at OWASP. You can also join one of over 180 local chapters worldwide or attend our high quality and inexpensive AppSec conferences.

The OWASP Top 10 for 2010 are:

A1: Injection

A2: Cross-Site Scripting (XSS)

A3: Broken Authentication and Session Management

A4: Insecure Direct Object References

A5: Cross-Site Request Forgery (CSRF)

A6: Security Misconfiguration

A7: Insecure Cryptographic Storage

A8: Failure to Restrict URL Access

A9: Insufficient Transport Layer Protection

A10: Unvalidated Redirects and Forwards

The 2010 update is based on more sources of web application vulnerability information than the previous versions were when determining the new Top 10. It also presents this information in a more concise, compelling, and consumable manner, and includes strong references to the many new openly available resources that can help address each issue, particularly OWASP's new Enterprise Security API (ESAPI) and Application Security Verification Standard (ASVS) projects.

ABOUT OWASP

The Open Web Application Security Project (OWASP) is a worldwide free and open community focused on improving the security of application software. Our mission is to make application security visible, so that people and organizations can make informed decisions about true application security risks. Everyone is free to participate in OWASP and all of our materials are available under a free and open software license. The OWASP Foundation is a 501c3 not-for-profit charitable organization that ensures the ongoing availability and support for our work from our members: Individuals, Organizational Supporters & Accredited University Supporters.

sexta-feira, 19 de março de 2010

AppSec Brasil - keynotes e blog

Hoje o Eduardo Neves colocou no ar o blog do AppSec Brasil 2010. Vou passar a postar as informações sobre o evento lá e peço a todos que assinem e nos ajudem a divulgar este novo blog.

Postamos hoje no novo blog os nomes dos keynotes para o evento deste ano. Vale a pena dar uma olhada, já que teremos grandes nomes que estarão no Brasil pela primeira vez.

quinta-feira, 25 de fevereiro de 2010

AppSec Brasil 2010 - Chamada por patrocinadores

**OWASP APPSEC BRASIL 2010**
**Chamada por Patrocinadores**

Caros colegas,

o OWASP busca empresas interessadas em patrocinar o AppSec Brasil
2010, que ocorrerá no centro de convenções da Fundação CPQD, em
Campinas, SP, de 16 a 19 de novembro de 2010. Haverão mini-cursos nos
dias 16 e 17 de novembro, seguidos de sessões plenárias nos dias 18 e
19 de novembro de 2010.

A Conferência tem como objetivo congregar a comunidade de
profissionais, pesquisadores e estudantes e a divulgação de
informações sobre segurança de aplicações. São exemplos de temas de
interesse:

- Modelagem de ameaças em aplicações (Application Threat Modeling)
- Riscos de Negócio em Segurança de aplicações (Business Risks with
Application Security)
- Aplicações de Revisões de Código (Hands-on Source Code Review)
- Métricas Aplicadas a Segurança de Aplicações (Metrics for
Application Security)
- Ferramentas e Projetos do OWASP (OWASP Tools and Projects)
- Tópicos de Privacidade em Aplicações e Armazenamento de Dados
(Privacy Concerns with Applications and Data Storage)
- Práticas de Programação Segura (Secure Coding Practices)
- Programas de Segurança para todo o Ciclo de Vida de alicações
(Secure Development Lifecycle Programs)
- Tópicos de Segurança para tecnologias específicas (AJAX, XML,
Flash, etc) (Technology specific presentations on security such as
AJAX, XML, etc)
- Controles de Segurança para aplicações Web (Web Application
Security countermeasures)
- Testes de Segurança de aplicações Web (Web Application Security Testing)
- Segurança de Web Services ou XML (Web Services-, XML- and
Application Security)

A conferência será o principal evento programado pelo OWASP para
último trimestre de 2010, sendo um dos 4 principais eventos
programados para o ano de 2010.

As informações sobre as oportunidades de patrocínio e suas respectivas
cotas podem ser encontradas no documento:
http://www.owasp.org/images/a/a4/Oportunidades_Patrocinio_OWASP_AppSec_Brasil_2010.pdf

Mais informações podem ser obtidas pelo email: organizacao2010@appsecbrasil.org

Por favor ajudem a divulgar aos potenciais interessados.

sábado, 20 de fevereiro de 2010

AppSec Brasil 2010

Finalmente consegui um tempo para divulgar que o AppSec Brasil 2010 já está marcado para Campinas, de 16 a 19 de novembro. Programe-se...

A conferência será na Fundação CPQD.

Em breve vamos divulgar as chamadas de trabalhos e de treinamentos. A medida que tivermos novas informações, vamos atualizar as páginas em português e inglês.

Estamos buscando patrocinadores. Quem tiver interesse pode entrar em contato com a comissão organizadora no email organizacao2010 'arroba' appsecbrasil.org.

quarta-feira, 3 de fevereiro de 2010

AppSec Latin America 2011

Passei os últimos dias trabalhando para viabilizar o AppSec Brasil 2010. Em breve eu vou postar mais sobre esse assunto...

Como estou participando do Global Conferences Committee do OWASP, estou ajudando a montar uma grande "Chamada de Conferências" para 2011. Assim surgiu a idéia de lançar uma chamada local por cidades que queiram sediar uma AppSec em 2011. A idéia cresceu e virou o email abaixo, publicado também no blog do OWASP:

Dear Fellow OWASP Leaders,

in 2009 we had the first AppSec in South America, which was organised
by the Brazilian Chapter in Brasilia, with more than 200 participants
from Brazil, Argentina and Peru. For 2010, we are already organising
another AppSec Brasil, which will be in Campinas (90 km from the City
of São Paulo). We will soon begin releasing the call for presentations
for 2010 and hope to have even more submissions from Latin America
than we had last year. We have set the goal to make the transition
from AppSec Brasil to AppSec Latin America, and need your help in
doing so.

As you may know, OWASP's Global Conferences Committee will soon issue
a Call for Conferences for year 2011. Before answering to this call,
we are planning to release a Call for Conference Locations, so that
candidate teams around Latin America can propose local venues to host
a big AppSec Latin America Conference for 2011.

We believe this will be the first big effort to get together the Latin
American OWASP Community in a big meeting, which would increase
collaboration among our Chapter members and improve the presence of
the community in OWASP.

We hope to have your support for this effort and are eager to hear
your comments and suggestions. We also ask you to help us spread the
word to other Chapters or groups we may have missed.

Best Regards,

Wagner Elias (wagner.elias@owasp.org)
Eduardo Camargo Neves (eduardo.neves@owasp.org)
Lucas C. Ferreira (lucas.ferreira@owasp.org)

sexta-feira, 15 de janeiro de 2010

SSL

Já tem algum tempo que eu descobri o SSL Labs, principalmente devido ao fato de que o responsável por este projeto é o autor original do ModSecurity, o Ivan Ristic. O SSL labs é o site onde o Ivan Ristic coloca as suas descobertas sobre o SSL, que é o seu tema de interesse no momento.

E o site já tem bastante coisa interessante como o "Public SSL Server Database", que é uma base de dados de servidores que usam SSL, em conjunto com uma ferramenta que analisa as configurações de SSL de cada servidor. No final, cada servidor recebe uma nota. Os resultados são bem legais para quem tem de configurar servidores web com SSL, embora o serviço não reconheça certificados da ICP-Brasil.

Além do SSL Labs, o protocolo SSL ganhou as manchetes ultimamente por causa do Google, que colocou o acesso ao GMail utilizando SSL como padrão. Esta é uma boa notícia, embora não resolva todos os problemas de segurança.

Outra notícia recente foi a descoberta de uma vulnerabilidade no protocolo, levando à necessidade de atualização tanto de browsers quanto de servidores. Pelo lado positivo, a ferramenta do SSL Labs permite detectar se os servidores estão vulneráveis.

Enfim, o SSL é importante mas não resolve todos os problemas de segurança na web. Mas também não adianta se não for implementado corretamente.