Segurança da informação: falta de formação aumenta perigo
Jan 26th
Saiu hoje um artigo na Semana Informática, no qual a OWASP Portugal teve a oportunidade de colaborar, em conjunto com o Dinis Cruz (líder OWASP) e com o Miguel Almeida (Consultor Independente de Segurança). Não deixa de ser curioso, que nestes artigos em que nos solicitam a nossa colaboração e nos colocam inúmeras perguntas, que na verdade deram origem a cerca de 8 páginas A4 de respostas, apenas acabam por publicar uma opinião muito sucinta do mesmo. Mas o mais importante mesmo, é termos conseguido colocar lá (parte) da nossa opinião.
Basicamente a nossa posição é muito simples… o mercado de desenvolvimento de aplicações de software software, não tem em linha de conta as preocupações de segurança, o que acaba por provocar que as aplicações lançadas no mercado, não oferecem todas as garantias de segurança necessárias.
Isto acaba por ser mais problemático para as PME que não têm a capacidade quer interna, quer externamente de poderem assegurar-se das condições de segurança das aplicações e sistemas que usam no seu dia a dia, nem conseguem tomar decisões nesse sentido aquando da aquisição desses mesmos sistemas.
Por outro lado, a entrevista acaba por focar outro factor importante que tem que ver com a falta de formação disponível, que prepare programadores e engenheiros de software para o desenvolvimento de aplicações com segurança. Estes não os únicos motivos, mas são os únicos que foram considerados aquando da elaboração do artigo por parte da revista.
De qualquer é uma leitura interessante. Podem encontrar o artigo on-line aqui.
Blogs em português sobre segurança de Informação
Jan 20th
O Sandro Süffert, especialista em Segurança da Informação e blogger, compilou uma lista exaustiva de blogs (até à data são 51 blogs, maioritariamente brasileiros e portugueses) sobre Segurança da Informação.
Esta lista pode ser consultada directamente a partir do seu blog.
IBWAS’09 – Cerimónia de Abertura e Keynote do Bruce Schneier
Jan 15th
Foi finalmente colocada no Youtube a cerimónia de abertura da IBWAS’09, decorreu em Madrid no passado mês de Dezembro, assim como a keynote do Bruce Schneier sobre “O Futuro da Indústria de Segurança”. Se tiverem tempo (cerca de 1h20), vale a pena ver.
IBWAS’09 terminou… viva a IBWAS’10
Dec 29th
No início do mês de Dezembro realizou-se em Madrid a primeira edição da Conferência Ibérica em Segurança de Aplicações Web (IBWAS’09). A organização partiu de uma iniciativa conjunta entre o capítulo português e espanhol da OWASP.
A conferência contou com a presença de um alargado número de researchers e de participantes da indústria, a IBWAS’09 foi um sucesso!
A IBWAS’09 teve a presença de um conjunto de speakers de qualidade (nos quais se destaca a presença de Bruce Schneier, um dos maiores gurus mundiais em Segurança de Informação), que se organizaram em diversos painéis de científicos, de indústria e de keynotes.
No final da conferência foi ainda organizado um painel de discussão em que foram elaboradas um conjunto de recomendações a adoptar pelos governos mundiais em 2010.
Para o ano há mais… e já se prepara a IBWAS’10. A não perder.
IBWAS09 – Conferência em Segurança de Aplicações Web
Nov 30th
First Iberic Conference on Web-Applications Security (IBWAS’09)
Escuela Universitaria de Ingeniería Técnica de Telecomunicacíon – Universidad Politécnica de Madrid
10th – 11th December 2009
Madrid, Spain
http://www.ibwas.com, http://www.owasp.org/index.php/OWASP_AppSec_Iberia_2009
[organised by OWASP Spain and OWASP Portugal]
There is a change in the information systems development paradigm. The emergence of Web 2.0 technologies led to the extensive deployment and use of web-based applications and web services as a way to developed new and flexible information systems. Such systems are easy to develop, deploy and maintain and demonstrate impressive features for users, resulting in their current wide use.
As a result of this paradigm shift, the security requirements have also changed. These web-based information systems have different security requirements, when compared to traditional systems. Important security issues have been found and privacy concerns have also been raised recently. In addition, the emerging Cloud Computing paradigm promises even greater flexibility; however corresponding security and privacy issues still need to be examined. The security environment should involve not only the surrounding environment but also the application core.
This conference will bring together application security experts, researchers, educators and practitioners from the industry, academia and international communities such as OWASP, in order to discuss open problems and new solutions in application security. In the context of this track academic researchers will be able to combine interesting results with the experience of practitioners and software engineers.
Conference proceedings will be published by Springer in the “Communications in Computer and Information Science” (CCIS) series.
Keynote Speakers
—————-
* Bruce Schneier, acclaimed security guru, author, BT CSTO (confirmed)
* Inspector Jorge Martín from the High Tech Crime Unit of the Spanish National Police (confirmed)
Speakers
——–
* Justin Clarke, Gotham Digital Science
* Dinis Cruz, OWASP
* Luis Corrons, Panda Security
* Marc Chisinevski, OWASP
* Simon Roses, Microsoft
* Dave Harper, Fortify Software
* Raul Siles, Taddong
* Miguel Almeida, Independent Security Consultant
* Daniele Catteddu, ENISA
* Kuai Hinojosa, OWASP
* Fabio E Cerullo, OWASP
* Paulo Querido, Publico/Expresso
* Martin Knobloch, OWASP
* Javier Fernández-Sanguino, University Rey Juan Carlos
Agenda
——
The agenda can be found in the following locations:
http://www.ibwas.com/site/programme.html
http://www.owasp.org/index.php/OWASP_AppSec_Iberia_2009#tab=Agenda.2FSchedule
Who should attend?
——————
- Academics
- Researchers
- Lifelong learning educators
- Technical staff
- Secondary, vocational, or tertiary educators
- Professionals from the private and public sector
- Technologists and Scientifics
- School counsellors, principals and teachers
- Education policy development representatives
- General personnel from vocational sectors
- Student counsellors
- Career/employment officers
- Education advisers
- Student Unions
- Bridging program lecturers & support staff
- Library personnel
- International support and services staff
- Open learning specialists
- Application Developers
- Application Testers and Quality Assurance
- Application Project Management and Staff
- Chief Information Officers, Chief Information Security Officers, Chief Technology Officers, Deputies, Associates and Staff
- Chief Financial Officers, Auditors, and Staff Responsible for IT Security Oversight and Compliance
- Security Managers and Staff
- Executives, Managers, and Staff Responsible for IT Security Governance
- IT Professionals Interesting in Improving IT Security
…and any person interested in Web Application and Services Security and Information Security in general.
Conference Topics
—————–
• Secure application development
• Security of service oriented architectures
• Security of development frameworks
• Threat modelling of web applications
• Cloud computing security
• Web applications vulnerabilities and analysis (code review, pen-test, static analysis etc.)
• Metrics for application security
• Countermeasures for web application vulnerabilities
• Secure coding techniques
• Platform or language security features that help secure web applications
• Secure database usage in web applications
• Access control in web applications
• Web services security
• Browser security
• Privacy in web applications
• Standards, certifications and security evaluation criteria for web applications
• Application security awareness and education
• Security for the mobile web
• Attacks and Vulnerability Exploitation
Web-site
http://www.ibwas.com
http://www.owasp.org/index.php/OWASP_AppSec_Iberia_2009
Secretariat
E-mail: secretariat@ibwas.com
Atenção: Phishing usa Polícia de Segurança Pública
Oct 21st
Foi hoje denunciada a existência de um email a circular nas caixas de correio nacionais, que usa o nome da Polícia de Segurança Pública (PSP) para efectuar uma convocatória judicial.
O email é falso!!! Trata-se de uma mensagem falsa e que visa realizar ataques de phishing contra os utilizadores mais incautos. A própria PSP já vei desmentir que use o email para realizar quaisquer tipo de diligências semelhantes às que se refere o email.
- eliminar o email
- evitar abrir o email ou carregar nalgum dos seus links
- ter as ferramentas anti-virus e anti-spam devidamente actualizadas
- em caso de dúvida, não arrisque, nunca!
PROCEDIMENTO INVESTIGATÓRIO N.º 363.234/2009
Um exemplo a seguir em Portugal???
Oct 19th
Achei curiosa esta notícia sobre a intenção do Department of Homeland Security nos EUA em contratar nos tempos mais próximos cerca de 1000 especialistas em segurança da informação e dos sistemas.
Numa altura em que tanto se fala na (in)segurança dos sistemas de informação da Administração Pública, em particular dos da Presidência da República, não seria este um exemplo a seguir (embora adaptando as necessidades à dimensão e realidade nacional) em Portugal?
Catchable fatal error: Object of class WP_Error could not be converted to string in /home1/allofads/public_html/webappsec/wp-content/themes/mystique/archive.php on line 17