IBWAS’10
Feb 26th
Aí está… oficialmente lançada a organização da IBWAS’10 (2ª Conferência Ibero-Americana de Segurança em Aplicações Web) depois da edição do ano passado, em Madrid, a IBWAS’09.
Este ano, a IBWAS’10 realiza-se em Portugal, em Lisboa, no ISCTE-IUL. Toda comunidade de segurança nacional e internacional está convidada a participar. O respectivo Call for Papers já foi igualmente lançado, e a organização da IBWAS’10 agradece a sua divulgação e disseminação.
Mais uma vez, a comunidade local e internacional do OWASP estará reunida durante 2 dias cheios, juntamente com a comunidade académica, profissionais e empresas para debater o estado actual e futuro da segurança na Web.
A organização está igualmente a estabelecer um painel de keynote speakers e de panel speakers de qualidade. Mais notícias irão surgindo à medida que se justifique.
Estão desde já todos convidados a participar.
A Segurança das Aplicações e Sistemas de Informação Baseados na WWW
Feb 12th
Saiu na POSI mag 3, uma publicação do curso de Pós-Graduação em Sistemas de Informação do IST, um artigo sobre “A Segurança das Aplicações e Sistemas de Informação Baseados na WWW: Mais do que a visão alcança“, que fala um pouco sobre a perspectiva da segurança no desenvolvimento aplicacional, e dos problemas que podem ser originados.
Acho que vale a pena uma leitura rápida.
Segurança da informação: falta de formação aumenta perigo
Jan 26th
Saiu hoje um artigo na Semana Informática, no qual a OWASP Portugal teve a oportunidade de colaborar, em conjunto com o Dinis Cruz (líder OWASP) e com o Miguel Almeida (Consultor Independente de Segurança). Não deixa de ser curioso, que nestes artigos em que nos solicitam a nossa colaboração e nos colocam inúmeras perguntas, que na verdade deram origem a cerca de 8 páginas A4 de respostas, apenas acabam por publicar uma opinião muito sucinta do mesmo. Mas o mais importante mesmo, é termos conseguido colocar lá (parte) da nossa opinião.
Basicamente a nossa posição é muito simples… o mercado de desenvolvimento de aplicações de software software, não tem em linha de conta as preocupações de segurança, o que acaba por provocar que as aplicações lançadas no mercado, não oferecem todas as garantias de segurança necessárias.
Isto acaba por ser mais problemático para as PME que não têm a capacidade quer interna, quer externamente de poderem assegurar-se das condições de segurança das aplicações e sistemas que usam no seu dia a dia, nem conseguem tomar decisões nesse sentido aquando da aquisição desses mesmos sistemas.
Por outro lado, a entrevista acaba por focar outro factor importante que tem que ver com a falta de formação disponível, que prepare programadores e engenheiros de software para o desenvolvimento de aplicações com segurança. Estes não os únicos motivos, mas são os únicos que foram considerados aquando da elaboração do artigo por parte da revista.
De qualquer é uma leitura interessante. Podem encontrar o artigo on-line aqui.
OWASP AppSec Research 2010
Jan 23rd
Vai realizar-se na Suécia, em Estocolmo, a OWASP AppSec Research 2010 entre 21 e 24 de Junho. A OWASP AppSec Research 2010 é organizada em conjunto pelos chapters OWASP da Suécia, Noruega e Dinamarca.
“AppSec Research”.equals(”AppSec Europe”)This conference was formerly known as OWASP AppSec Europe. We have added ‘Research’ to highlight that we invite both industry an academia. All the regular AppSec Europe visitors and topics are welcome along with contributions from universities and research institutes.This will be the European conference for anyone interested in or working with application security. Co-host is the Department of Computer and Systems Science at Stockholm University, offering a great venue in the fabulous Aula Magna.
- Publish or Perish
- Demo or Die
- Present or Repent
Existe ainda a possibilidade de participar num dos múltiplos concursos para ganhar alguma entradas à borla na conferência. Quem estiver interessado deve/pode aproveitar.
Newsletter OWASP Q1 2010
Jan 23rd
Aqui fica a newsletter do OWASP do Q1 de 2010. Entre outras coisas é possível observar aqui um pouco do que foi o IBWAS09.
Podem encontrar a newsletter neste link.
E ainda mais sobre as passwords…
Jan 21st
Simple Passwords Remain Popular, Despite Risk of Hacking – NYTimes.com
Ainda sobre a questão das passwords, aqui fica mais um artigo sobre a insegurança das passwords e o tipo de passwords que os utilizadores optam por escolher. Continua a ser muito complicado levar os utilizadores a usarem de boas práticas aquando da escolha da sua password, apesar de existirem ferramentas de software que geram passwords seguras, e de outros verificam a robustez das passwords que estão a ser introduzidas pelo utilizador.
Continua a existir um importante trade-off entre a segurança de uma password e a capacidade que o utilizador tem para a decorar. Definir e empregar uma boa política de gestão de passwords é meio caminho andado para a segurança das aplicações e de sistemas.
Diga-se em abono da verdade que a aplicação ou sistema que deixe que os seus utilizadores utilizem passwords com um só carácter (’0′), ou em que todos os caracteres são iguais (’111111′) está mesmo “a pedir” para ser posta à prova.
É incompreensível de facto.
Just in case, aqui ficam alguns conselhos para a escolha de passwords mais seguras (apenas um exemplo), e para evitar que este tipo de passwords vulneráveis a ataques de dicionário ou de força bruta (com baixa complexidade) possam ocorrer.
Ferramenta de Segurança para o Facebook
Jan 21st
Esta é uma aplicação na linha das que iremos ver surgindo no mercado de produtos anti-virus/anti-spam e de outro tipo de segurança contra ameaças da Internet, à medida que estas aplicações web vão ganhando utilizadores e popularidade na Internet.
IBWAS’09 – Cerimónia de Abertura e Keynote do Bruce Schneier
Jan 15th
Foi finalmente colocada no Youtube a cerimónia de abertura da IBWAS’09, decorreu em Madrid no passado mês de Dezembro, assim como a keynote do Bruce Schneier sobre “O Futuro da Indústria de Segurança”. Se tiverem tempo (cerca de 1h20), vale a pena ver.
Google altera a sua política na China
Jan 12th
Primeiro foi o Twitter que tinha sido atacado. Depois foi a vez do Baidu (motor de busca Google para a China) também ter sido alvo de um ciber-ataque. Estes ataque partiram de um grupo designado por Iranian Cyber Army (que na sua tradução para português significa o Exército Iraniano do Ciberespaço).
Parece-me assim que está dado o mote sobre como serão travadas as batalhas no futuro. Através de um terminal de computador a atacar as infra-estruturas de tecnologia de informação e comunicação de um inimigo remoto, dependente das mesmas.
Agora, numa acção sem precedentes a Google resolve encerrar as suas operações na China, algo que me motiva acima de tudo surpresa. Pode ler-se no blog oficial da Google, toda a história com maior detalhe, mas em traços muito gerais o que se passou foi o seguinte.
Em meados de Dezembro do ano passado a Google tinha sido vítima, assim como outras organizações (presumo que o Twitter esteja neste rol) de um ataque informático originário na China (GhostNet). Outro facto surpreendente é que a Google verificou que houve uma tentativa (sem sucesso) de aceder às contas de Gmail de activistas de direitos humanos chineses. Por outro lado, a Google conseguiu igualmente confirmar que existiram acessos não autorizados a contas Gmail (através de esquemas de spam e de phishing) de diversos cidadãos dos EUA, UE e da China, conhecidos pela sua luta pelos direitos humanos na China.
Posto isto, e visto que o que está em causa não são apenas ataque informáticos “normais”, mas sim tentativas claramente direccionadas de obter informação mais detalhada sobre activistas que lutam por melhores condições humanas e políticas na China, a Google vai alterar a sua política na China, e vai deixar de filtrar conteúdos no seu motor de busca como acontecia até então. Coloca-se o pior cenário, que consiste no encerramento de todas e quaisquer operações na China.
Não deixa de ser curioso o facto de que possivelmente (e conseguimos ler isso nas entrelinhas do texto que a Google escreve) o estado Chinês usar ataques informáticos contra empresas, governos, e cidadãos em qualquer parte do Mundo, violando a sua privacidade, como uma forma de manter a sua política atroz de controlar a voz do seu próprio povo, que parece ganhar tom contra um regime opressor.
Parece que a Google viu isso… e vai tomar a única acção possível.
IBWAS’09 terminou… viva a IBWAS’10
Dec 29th
No início do mês de Dezembro realizou-se em Madrid a primeira edição da Conferência Ibérica em Segurança de Aplicações Web (IBWAS’09). A organização partiu de uma iniciativa conjunta entre o capítulo português e espanhol da OWASP.
A conferência contou com a presença de um alargado número de researchers e de participantes da indústria, a IBWAS’09 foi um sucesso!
A IBWAS’09 teve a presença de um conjunto de speakers de qualidade (nos quais se destaca a presença de Bruce Schneier, um dos maiores gurus mundiais em Segurança de Informação), que se organizaram em diversos painéis de científicos, de indústria e de keynotes.
No final da conferência foi ainda organizado um painel de discussão em que foram elaboradas um conjunto de recomendações a adoptar pelos governos mundiais em 2010.
Para o ano há mais… e já se prepara a IBWAS’10. A não perder.
