Segurança de Aplicações Web
Archive for November, 2009
IBWAS09 – Conferência em Segurança de Aplicações Web
Nov 30th
First Iberic Conference on Web-Applications Security (IBWAS’09)
Escuela Universitaria de Ingeniería Técnica de Telecomunicacíon – Universidad Politécnica de Madrid
10th – 11th December 2009
Madrid, Spain
http://www.ibwas.com, http://www.owasp.org/index.php/OWASP_AppSec_Iberia_2009
[organised by OWASP Spain and OWASP Portugal]
There is a change in the information systems development paradigm. The emergence of Web 2.0 technologies led to the extensive deployment and use of web-based applications and web services as a way to developed new and flexible information systems. Such systems are easy to develop, deploy and maintain and demonstrate impressive features for users, resulting in their current wide use.
As a result of this paradigm shift, the security requirements have also changed. These web-based information systems have different security requirements, when compared to traditional systems. Important security issues have been found and privacy concerns have also been raised recently. In addition, the emerging Cloud Computing paradigm promises even greater flexibility; however corresponding security and privacy issues still need to be examined. The security environment should involve not only the surrounding environment but also the application core.
This conference will bring together application security experts, researchers, educators and practitioners from the industry, academia and international communities such as OWASP, in order to discuss open problems and new solutions in application security. In the context of this track academic researchers will be able to combine interesting results with the experience of practitioners and software engineers.
Conference proceedings will be published by Springer in the “Communications in Computer and Information Science” (CCIS) series.
Keynote Speakers
—————-
* Bruce Schneier, acclaimed security guru, author, BT CSTO (confirmed)
* Inspector Jorge Martín from the High Tech Crime Unit of the Spanish National Police (confirmed)
Speakers
——–
* Justin Clarke, Gotham Digital Science
* Dinis Cruz, OWASP
* Luis Corrons, Panda Security
* Marc Chisinevski, OWASP
* Simon Roses, Microsoft
* Dave Harper, Fortify Software
* Raul Siles, Taddong
* Miguel Almeida, Independent Security Consultant
* Daniele Catteddu, ENISA
* Kuai Hinojosa, OWASP
* Fabio E Cerullo, OWASP
* Paulo Querido, Publico/Expresso
* Martin Knobloch, OWASP
* Javier Fernández-Sanguino, University Rey Juan Carlos
Agenda
——
The agenda can be found in the following locations:
http://www.ibwas.com/site/programme.html
http://www.owasp.org/index.php/OWASP_AppSec_Iberia_2009#tab=Agenda.2FSchedule
Who should attend?
——————
- Academics
- Researchers
- Lifelong learning educators
- Technical staff
- Secondary, vocational, or tertiary educators
- Professionals from the private and public sector
- Technologists and Scientifics
- School counsellors, principals and teachers
- Education policy development representatives
- General personnel from vocational sectors
- Student counsellors
- Career/employment officers
- Education advisers
- Student Unions
- Bridging program lecturers & support staff
- Library personnel
- International support and services staff
- Open learning specialists
- Application Developers
- Application Testers and Quality Assurance
- Application Project Management and Staff
- Chief Information Officers, Chief Information Security Officers, Chief Technology Officers, Deputies, Associates and Staff
- Chief Financial Officers, Auditors, and Staff Responsible for IT Security Oversight and Compliance
- Security Managers and Staff
- Executives, Managers, and Staff Responsible for IT Security Governance
- IT Professionals Interesting in Improving IT Security
…and any person interested in Web Application and Services Security and Information Security in general.
Conference Topics
—————–
• Secure application development
• Security of service oriented architectures
• Security of development frameworks
• Threat modelling of web applications
• Cloud computing security
• Web applications vulnerabilities and analysis (code review, pen-test, static analysis etc.)
• Metrics for application security
• Countermeasures for web application vulnerabilities
• Secure coding techniques
• Platform or language security features that help secure web applications
• Secure database usage in web applications
• Access control in web applications
• Web services security
• Browser security
• Privacy in web applications
• Standards, certifications and security evaluation criteria for web applications
• Application security awareness and education
• Security for the mobile web
• Attacks and Vulnerability Exploitation
Web-site
http://www.ibwas.com
http://www.owasp.org/index.php/OWASP_AppSec_Iberia_2009
Secretariat
E-mail: secretariat@ibwas.com
Descoberto worm para o iPhone?!?
Nov 9th
Acho uma certa piada quando títulos como estes aparecem na comunicação social com o único objectivo de criarem FUD. Quando alguém lê uma coisa destas fica logo a imaginar que se trata de um problema de segurança do iPhone, que o mesmo é vulnerável, que existe uma ameaça real que se propaga de um lado para o outro, enfim…
Mas é melhor analisar os factos… e os factos são os seguintes:
- este problema apenas afecta iPhones que tenham sido jailbreak;
- mesmo no caso dos iPhones jailbreak, afecta apenas aqueles que tenham o OpenSSH instalado;
- finalmente, apenas afecta os iPhones que tenham o OpenSSH instalado, e cujos os utilizadores não tenham alterado a password que está configurada por defeito, e que como tal é de conhecimento público.
Meus caros amigos, isto é a mesma coisa que eu convidar um ladrão a vir a minha casa e dar-lhe a chave da porta principal. Não é um worm, que faz um bypass dos controlos de segurança implementados no iPhone. Não é um worm que explora alguma vulnerabilidade do sistema operativo no iPhone.
Importa que alguns jornalistas menos esclarecidos tenham o cuidado de reportar estas situações de uma forma correcta e completa (não que eu queira intrometer-me na sua actividade).
Para os utilizadores que tenham feito jailbreak ao seu iPhone, e que tenham o OpenSSH instalado é importantíssimo que alterem a password dos utilizadores “root” e “mobile”. A password configurada por defeito é “alpine” e por isso é importante alterá-la na primeira vez que o OpenSSH é usado. Para isso basta usar o comando “passwd” depois de entrar em sessão da primeira vez.
Com esta simples operação, o problema fica resolvido.
Curso online de Metasploit
Nov 5th
Excelente curso online gratuito sobre como utilizar a framework Metasploit. A Metasploit Framework (MSF) é considerada como uma das melhores ferramentas de auditoria livres que existem para os profissionais de segurança nos nossos dias.
A SF oferece informações úteis para quem tenha que realizar testes de penetração, desenvolvimento de assinaturas de IDS, e investigação de vulnerabilidades e de exploits. Este projeto foi criado para fornecer informações sobre diversas técnicas e mecanismos de exploração de vulnerabilidades e assim ser recurso útil para ajudar os profissionais de segurança.
Esta e outras ferramentas e informações semelhantes servem única e exclusivamente para fins de investigação na área da segurança de informação e ajudar os profissionais a trabalharem no sentido da melhoria das condições de segurança de informação dos seus clientes. Utilizar este tipo de ferramentas para outros fins que não estes, sujeita os utilizadores das referidas ferramentas a punições de acordo com a aplicação da legislação em vigor.
PGP cracking, vulnerabilidade Linux, estatísticas, Gumblar e mais algumas coisas
Nov 4th
Como não tem havido muito tempo para escrever muitas coisas, aqui fica um pequeno apanhado de algumas das notícias relacionadas com segurança de informação nos dias que passaram.
Usar cloud computing para quebrar o PGP
O Cloud Computing tem vindo a permitir alguns projectos interessantes, que não teriam sido tentados anteriormente sem o barato, flexível, disponível e simples acesso que permite liberar o poder de computação que “nuvem” proporciona.
Uns tipos resolveram aproveitar o poder computacional proporcionado pela cloud (Amazon EC2) e resolveram montar um projecto para quebrar as palavras-passe PGP dos ficheiros ZIP. Para isso usaram parte do software da Elcomsoft Distributed Password Recovery. O software a correr num computador dual core com Windows 7 iria demorar cerca de 2100 dias para quebrar as palavras-passe num ataque de força bruta. O objectivo é reduzir este número para um valor bastante mais aceitável…
Interessante.
Vulnerabilidade no Kernel Linux
Foi descoberta uma vulnerabilidade no kernel Linux que afecta a maioria das versões do Linux e que pode permitir que utilizadores não confiáveis possam conseguir o controlo completo sobre o sistema operativo open-source.
Esta vulnerabilidade foi apenas corrigida na próxima release candidate 2.6.32 do kernel do Linux, fazendo com que praticamente todas as versões de produção em utilização estejam neste momento vulneráveis.
Mais detalhes podem ser obtidos aqui.
Relatório de estatísticas de vulnerabilidades Web
O Web Application Security Consortium (WASC) publicou o WASC Web Application Security Statistics Project 2008. Os objectivos deste projecto eram os seguintes:
- Identificar a prevalência e a probabilidade das diferentes classes de vulnerabilidades;
- Comparar as metodologias de testes com os tipos de vulnerabilidades que as mesmas seriam capazes de identificar.
Ao que parece, o Gumblar está de regresso. O Gumblar infecta sites de web vulneráveis como forma de comprometer PCs que estejam igualmente vulneráveis.
Recentemente, foram encontrados milhares de sites em que havia sido colocado um IFRAME, como forma de colocar conteúdo de um site num outro. Este IFRAME redireccionava o tráfego para o domínio gumblar.cn. O Gumblar tentava então explorar o computador do utilizador através de vulnerabilidades encontradas em software da Adobe Systems em produtos como o Flash ou o Acrobat Reader e em seguida distribuir o seu código malicioso.
Mais informações sobre esta perigosa ameaça podem ser encontradas neste artigo.
