Este ano, a IBWAS’10 realiza-se em Portugal, em Lisboa, no ISCTE-IUL. Toda comunidade de segurança nacional e internacional está convidada a participar. O respectivo Call for Papers já foi igualmente lançado, e a organização da IBWAS’10 agradece a sua divulgação e disseminação.

Mais uma vez, a comunidade local e internacional do OWASP estará reunida durante 2 dias cheios, juntamente com a comunidade académica, profissionais e empresas para debater o estado actual e futuro da segurança na Web.

A organização está igualmente a estabelecer um painel de keynote speakers e de panel speakers de qualidade. Mais notícias irão surgindo à medida que se justifique.

Estão desde já todos convidados a participar.

Numa altura em que as redes sociais enchem a Web, e em que milhões e milhões de utilizadores partilham a sua informação pessoal, as suas actividades diárias, as suas fotografias e vídeos, os seus próprios gostos e preferências pessoais, convém para um pouco e pensar: quem e o quê estará a visualizar e a utilizar toda esta informação que está a ser disponibilizada. E acima de tudo para quê?

Redes como o MySpace, o Hi5, Youtube, Twitter, Flickr, Facebook, Tumblr, e tantas outras será oferecem mecanismos de protecção e de privacidade para os seus muitos milhões de utilizadores. O Google, o maior monopolista mundial de informação, quais as preocupações de privacidade que na verdade implementa?

Qual o impacto que a impessoalidade imposta pelas TIC tem nas pessoas e no facto de que existe pouca consciência do que se passa do “outro lado do computador”.

“A privacidade é um direito humano – desfrute do mesmo com cuidado”.

Data Privacy Day is an international celebration of the dignity of the individual expressed through personal information. In this networked world, in which we are thoroughly digitized, with our identities, locations, actions, purchases, associations, movements, and histories stored as so many bits and bytes, we have to ask – who is collecting all of this – what are they doing with it – with whom are they sharing it? Most of all, individuals are asking ‘How can I protect my information from being misused?’ These are reasonable questions to ask – we should all want to know the answers.

Deixo-vos aqui alguns links com mais informação sobre o evento:

• EDPS statement and activities on the occasion of Data Protection Day (28 January 2010)
• European Data Protection Supervisor
• Data Protection Day site
  
• Resources Site for Data Privacy Day 2010
  
• Tips for protecting personal privacy online

“AppSec Research”.equals(“AppSec Europe”)

This conference was formerly known as OWASP AppSec Europe. We have added ‘Research’ to highlight that we invite both industry an academia. All the regular AppSec Europe visitors and topics are welcome along with contributions from universities and research institutes.

This will be the European conference for anyone interested in or working with application security. Co-host is the Department of Computer and Systems Science at Stockholm University, offering a great venue in the fabulous Aula Magna.

• Publish or Perish
  
• Demo or Die
  
• Present or Repent
  

Bem, pelo menos não se podem queixar da falta de imaginação…

Existe ainda a possibilidade de participar num dos múltiplos concursos para ganhar alguma entradas à borla na conferência. Quem estiver interessado deve/pode aproveitar.

Para além desses dois excelentes resumos, o que me despertou mais a atenção no blog do Jeremiah foi a sua listagem que descreve as 10 principais técnicas de hacking da Web – através de apresentações ou de artigos. Tomei a liberdade de reproduzir essa mesma listagem aqui, em português:

1. Criação de certificado forjado de CA: uma vulnerabilidade encontrada na actual infra-estrutura de PKI que permite forjar um certificado de uma CA, e com isso gerar certificados digitais forjados para uma série de sites, com o intuito de emitar outros legítimos. Este ataque/vulnerabilidade baseia-se numa fraqueza encontrada na função de hash MD5;
   
2. Poluição de parâmetros HTTP (HPP): este tipo de ataques ocorrem com a possibilidade de ultrapassar ou injectar parâmetros HTTPS POST/GET através da injecção de delimitadores de cadeias de caracteres. Esta vulnerabilidade pode ser usada para ataques do lado do cliente ou do servidor;
   
3. Vulnerabilidade da API do Flickr que permite forjar assinaturas (ataque à extensão MD5): uma vulnerabilidade encontrada na API do Flickr com a chave que permite gerar as assinaturas necessárias para a autenticação das aplicações externas que usam a API do Flickr. Esta vulnerabilidade permite que um utilizador possa gerar assinaturas válidas sem conhecer a parte secreta de uma chave;
   
4. Pesquisa intra-domínios temporizada: um ataque de timing (de temporização) é um ataque em que um atacante tenta comprometer um sistema analisando o tempo que demorar uma determinada operação a ser realizada;
   
5. DoS HTTP Slowloris: o Slowloris é um ataque de DoS HTTP que se aproveita do facto de que é possível manter uma sessão HTTP aberta indefinidamente e de se poder repetir esse mesmo processo por diversas vezes;
   
6. Vulnerabilidade 0-day no parsing de ficheiros do IIS: esta vulnerabilidade surge(ia) pelo facto do ISS executar código ignorando a interpretação de um ‘;’. Por exemplo o script “malicioso.asp;.jpg” seria executado (o ASP) uma vez que o IIS ignorava o ‘;’ e considerava o ficheiro como sendo uma imagem JPEG;
   
7. Explotar XSS inexplorado: mais um conjunto métodos para explorar vulnerabilidades do tipo XSS;
   
8. Os filtros XSS favoritos e como atacá-los
9. Problemas de segurança na cache RFC1918: explorar os mecanismos de mapeamento de cache desse mapeamento na Internet, em especial nos endereços IP não-públicos que são passíveis de “routear”;
   
10. Rebinding to DNS: este tipo está divido em três partes distintas, cookies persistentes, scraping e spamming e fixação de sessões.
    

Assim, o novo prazo limite para o envio de artigos é agora 31 de Outubro de 2009.

Como sempre, toda e qualquer informação sobre a conferência, pode ser obtida a partir do site oficial da mesma.

O evento decorreu na Aula Magna do Instituto Politécnico de Viseu, e contou com um programa muito variado, centrado no tema das Rich Internet Applications. Da minha parte fui fazer uma pequena apresentação sobre “Segurança em Aplicações Web-based e em Rich Internet Applications”. A apresentação podem encontrá-la abaixo.

cTIC2009 – Segurança em Aplicações Web-based e RIA

Infelizmente, neste tipo de eventos e de apresentações, é sempre difícil de competir com outras apresentações mais centradas na interactividade e usabilidade. Ou seja, não é tão “eye catching” falar de segurança, pois não se consegue mostrar.

Enfim, espero ter conseguido passar a minha mensagem.

E pronto, este foi mais um evento em que o OWASP Portugal esteve presente. Amanhã, rumo à Covilhã para uma nova apresentação na UBI.

Desde já fica o meu agradecimento ao Joaquim Marques (EST/IPCB) pelo seu amável convite e pela recepção. Igualmente o meu agradecimento ao Prof. Mário Freire pelo apoio técnico do IEEE a este evento do OWASP. Fica desde já pré-agendada uma apresentação na Universidade da Covilhã, neste esforço de evangelização que está a ser encetado pelo OWASP Portugal.

Neste momento, faz parte dos planos da OWASP Portugal conseguir passar a mensagem do OWASP e criar uma massa crítica suficiente para dinamizar uma comunidade portuguesa, envolvendo a mesma em projectos. Para isso a OWASP Portugal está disposta a efectuar apresentações e ou a participar aulas em instituições de ensino superior ou outras organizações que demonstrem o seu interesse.

A apresentação correu bastante bem, apesar da fraca adesão – ou então a sala era grande demais. De qualquer forma ficaram algumas lições desta primeira reunião, que decorreu no formato apresentação. Existem coisas a melhorar e outras a manter – mas vamos aprendendo com o tempo.

Como em tudo o que o OWASP faz, as apresentações são públicas, pelo que podem aceder às apresentações desta tarde, recorrendo aos seguintes links:

• Recepção e boas-vindas
• Apresentação do OWASP e Projectos
• Apresentação do OWASP Portugal, Objectivos e Projectos
• OWASP Top Ten
• OWASP Tools

Vamos tentar manter alguma regularidade nestas reuniões, e fica desde já a promessa de fazer igualmente reuniões do OWASP em Lisboa. Vamos tentar organizar uma reunião no ISCTE, o mais depressa possível.

Outro aspecto interessante do nosso trabalho passa pelo estreitamento das relações entre a comunidade OWASP Espanhola e a Portuguesa, no sentido de criar sinergias ibéricas. Um primeiro resultado deste esforço conjunto, será o lançamento de uma conferência ibérica anual no âmbito da segurança das aplicações web (Iberic Web Application Security Conference – IWAS) que se irá realizar em alternância em Espanha e em Portugal. Mas mais novidades sobre este evento serão fornecidos no futuro.

Esperamos no futuro poder contar com a vossa presença e com a vossa colaboração.

2 de Abril – Castelo Branco, IPCB, Escola Superior de Tecnologia

As preocupações a nível global com a Segurança de Informação não param de crescer. A informação é cada vez mais um activo importante das organizações e como tal torna-se necessário a sua gestão, preservação e protecção. Os ataques a que esta mesma informação está sujeita evoluem de dia para dia, e o que anteriormente oferecia segurança já não pode proteger.

As modernas ameaças à segurança da Informação conseguem efectuar um bypass dos mecanismos tradicionais de Segurança da Informação (como por exemplo as firewalls), e atacam directamente as aplicações e os dados dessas mesmas aplicações. As aplicações modernas (em particular as aplicações Web e os Web-services) passaram a ser uma parte integrante do perímetro de segurança das organizações e da protecção de um dos seus activos mais valiosos – a Informação. O Open Web Application Security Project (OWASP) é uma organização que trabalha no sentido de contribuir para a melhoria significativa da Segurança a nível aplicacional. A OWASP é uma comunidade aberta dedicada a ajudar as organizações a desenvolverem, comprarem, e a manterem aplicações que podem ser confiáveis. Orientada no sentido de contribuir para a melhoria significativa da Segurança a nível aplicacional, todas as ferramentas da OWASP, documentos, fóruns e delegações são livres e abertas a todos os interessados em oferecer segurança aplicacional.

No sentido de melhor disseminar a sua mensagem, documentos, processos e ferramentas, a comunidade OWASP encontra-se dividida geograficamente em comunidades locais (charters), mais focadas na sua própria comunidade e localização. Portugal não é uma excepção e marca presença nesta mesma comunidade através do seu charter nacional.

No próximo dia 2 de Abril vai realizar-se, a primeira reunião do Charter Português da OWASP (Kick-Off Meeting), que irá ter lugar em Castelo Branco, na Escola Superior de Tecnologia em parceria com o núcleo regional do IEEE. Nesta reunião pretende-se efectuar uma breve apresentação do OWASP e do OWASP@PT e projectos relacionados e assim dar a conhecê-los à comunidade em geral.

A agenda deste encontro apresenta-se de seguida.

Open Web Application Security Project

OWASP Portuguese Chapter Meeting (OWASP@PT)

Escola Superior de Tecnologia

Castelo Branco

2 Abril de 2009

Agenda

OWASP Portugal Kick-Off Meeting

14h00-14h10 Recepção e Boas-Vindas (Carlos Serrão (OWASP@PT), Joaquim Marques (OWASP@PT), Prof. Mário Freire (Chair do Computer Society Portugal Chapter do IEEE)

14h10-14h30 Apresentação do OWASP e Projectos (Carlos Serrão (OWASP@PT))

14h30-14h50 Apresentação do OWASP@PT, Objectivos e Projectos (Carlos Serrão (OWASP@PT))

14h50-15h20 Apresentação do IEEE (Prof. Mário Freire)

15h20-15h50 OWASP Top Ten (Carlos Serrão (OWASP@PT))

15h50-16h20 OWASP Tools (Joaquim Marques (OWASP@PT))

16h20-16h40 Conclusões e Debate

Sobre a OWASP

A OWASP (Open Web Application Security Project) é uma comunidade aberta dedicada a ajudar as organizações a desenvolverem, comprarem, e a manterem aplicações que podem ser confiáveis. Todas as ferramentas da OWASP, documentos, fóruns e delegações são livres e abertas para todas as pessoas interessadas em oferecer segurança aplicacional.

A OWASP defende que a abordagem à segurança aplicacional deve ser realizada como sendo um problema de pessoas, processos e tecnologias, porque as abordagens mais eficazes para segurança aplicacional incluem melhorias em todas estas áreas.

A OWASP é uma nova forma de organização. A sua liberdade de quaisquer tipos de pressões comerciais permite a divulgação de informação fiável, prática, e acessível sobre segurança aplicacional. A OWASP não é afiliada de nenhuma empresa tecnológica, embora suporte a utilização informada de tecnologias de segurança comerciais. À semelhança de muitos dos existentes projectos de open-source, o OWASP produz diversos tipos de materiais de uma forma cooperativa e aberta.

A Fundação OWASP é uma entidade sem fins lucrativos que assegura o sucesso dos projectos OWASP a longo prazo. O OWASP promove uma série de comunidades locais, sendo que Portugal possui igualmente uma comunidade local de interesse no OWASP. Para mais informações sobre o OWASP e os seus projectos consultar http://www.owasp.org. Para mais informação sobre a comunidade OWASP nacional consultar http://www.owasp.org/index.php/Portuguese.