Segurança de Aplicações Web
Posts tagged portugal
OWASP IBWAS’10 Call for Training Proposals
Jul 28th
2nd. OWASP Ibero-American Web-Applications Security conference (IBWAS’10)
ISCTE – Lisbon University Institute
25th – 26th November 2010
Lisboa, Portugal
http://www.ibwas.com
**CALL FOR TRAINING SESSIONS**
IBWAS and OWASP is currently soliciting training proposals for the OWASP Ibero-American Web Applications Security 2010 Conference (IBWAS’10) which will take place at ISCTE-IUL, Lisboa, Portugal, on November 24 through November 26, 2010.
There will be training courses on November 24 followed by plenary sessions on the 25 and 26 with multiple tracks per day.
We are seeking training proposals on the following topics (in no particular order):
- Application Threat Modeling
- Business Risks with Application Security
- Hands-on Source Code Review
- Metrics for Application Security
- OWASP Tools and Projects
- Privacy Concerns with Applications and Data Storage
- Secure Coding Practices (J2EE/.NET)
- Starting and Managing Secure Development Lifecycle Programs
- Technology specific presentations on security such as AJAX, XML, etc
- Web Application Security countermeasures
- Web Application Security Testing
- Web Services, XML and Application Security
- Anything else relating to OWASP and Application Security
Proposals on topics not listed above but related to the conference (i.e. which are related to Application Security) may also be accepted.
To make a submission you must fill out the form available at http://ibwas09.netmust.eu/files/ibwas10/OWASP_IBWAS_2010_CFT.rtf.zip and submit by email to secretariat@ibwas.com.
There may be 1 or half a day courses. The proposals must respect the restrictions of the OWASP Speaker Agreement. The conference will reward trainers with at least 30% of the total revenue of their courses, based on a minimum attendance. Courses that attract more students may be granted higher percentages. No other compensation (such as tickets or lodging) will be provided. If you require a different arrangement, please contact the conference chair at the email address below.
**Compensation**
Instructors and authors will be paid based on the number of students in their training sessions. If the training gathers only the minimum number of students, the compensation will be 30% of the revenue. For each group of 10 extra students enrolled, the compensation will be increased by 5% of the revenue, up to a maximum of 45% of the training revenue. For example, a 1-day training with 10 to 19 students will generate a compensation of 30% of the revenue. For classes of 20 to 29 students, the compensation raises to 35% percent of the revenue.
In exceptional cases, different compensation schemes may be accepted. Please contact the conference organization team by email (secretariat@ibwas.com) for details.
**Training cost**
half-day training: 250 EUR per student
1-day training: 450 EUR per student
All prices in Euros (EUR)
**Minimum number of students**
half-day trainings: 10 students
1-day trainings: 20 students
**Important Dates:**
Submission deadline is September 20, 2010.
Notification of acceptance will be October 8, 2010.
Final version is due October 29, 2010.
The conference organization team may be contacted by email at secretariat@ibwas.com
For more information, please see the following web pages:
Conference Website: http://www.ibwas.com, http://www.owasp.org/index.php/IBWAS10
OWASP Speaker Agreement: http://www.owasp.org/index.php/Speaker_Agreement
OWASP Website: http://www.owasp.org
Easychair conference site: http://www.easychair.org/conferences/?conf=ibwas10
Presentation proposal form: http://ibwas09.netmust.eu/files/ibwas10/OWASP_IBWAS_2010_CFT.rtf.zip
********** WARNING: Submissions without all the information requested in the proposal form will not be considered ************
Please forward to all interested practitioners and colleagues.
IBWAS’10 muda de data
Jul 15th
A 2ª Conferência Ibero-Americana em Segurança de Aplicações Web (IBero-american Web Application Security conference – IBWAS), alterou as suas datas de realização, devido ao facto de que o OWASP SUMMIT 2010, ter sido marcado para uma data que era coincidente com a IBWAS’10, impedindo assim que muitos dos membros da OWASP perdessem a oportunidade de estarem presentes em ambos os eventos.
Assim, optou-se por adiar a realização da conferência IBWAS’10 por duas semanas, sendo que as novas datas são dia 25 e 26 de Novembro.
Aproveito igualmente para informar que os prazos para a submissão de artigos foram igualmente estendidos.
Continuamos apostados em fazer da IBWAS’10 um excelente evento na área da segurança de informação.
Just 4 Meeting
Jun 18th
É já nos próximos dias 25, 26 e 27 que se vai realizar o evento Just 4 Meeting, Information Security Meeting, Workshops and Training Sessions.
Eu vou lá estar…
Estou particularmente interessado nas seguintes sessões:
- 100% hands-on W3AF
- DDos
Podem consultar a agenda aqui, assim como podem ver o cartaz do evento aqui.
Depois conto como foi.
(ISC)2 CISSP CBK – 2nd. Review Seminar
Apr 21st
A Shadowsec vai organizar o segundo (ISC)2 CISSP CBK Review Seminar oficial em Portugal entre 13 e 17 de Setembro, culminando o mesmo com o exame que irá ter lugar a 13 de Outubro.
O local onde o segundo (ISC)2 CISSP CBK Review Seminar e o exame vão ter lugar é no Hotel Riviera, em Carcavelos, e o número de estimado de delegados para o evento está estimado entre 20 a 30.
Para mais informação, podem consultar toda a informação a partir desta página.
Bom e mau exemplo nacional
Apr 5th
Deparei-me hoje com uma notícia no jornal “i” que me despertou a atenção. Noticiava o trabalho de um cientista português que havia desenvolvido uma nova técnica de encriptação que servia para cifrar mensagens no meio do caos. Bruno Romeira, um investigador da Universidade do Algarve, descobriu como tirar partido do caos para codificar dados na fibra óptica, o que lhe valeu um prémio de 12500 euros da Fundação Calouste Gulbenkian para o ajudar a construir o protótipo. Sem dúvida um excelente exemplo de como existem bons cérebros em Portugal a trabalhar na área da segurança de informação.
Por outro lado não poderia deixar passar em claro o menos bom trabalho jornalístico deste artigo. Se por um lado dizem:
Se um hacker quiser decifrar a mensagem secreta, terá de sincronizar emissor e receptor, já que neste sistema não há código–chave.
por outro, dizem precisamente o contrário:
A mensagem está dentro do ruído. E é indecifrável.
Mas em que é que ficamos…? É indecifrável ou não é? Eu sei que é extremamente complexo (para não dizer quase impossível) conseguir sincronizar o emissor e receptor da mensagem (para um atacante), mas isso não fica claro no artigo…
Parabéns ao Bruno Romeira. Mau trabalho no artigo do i.
Segurança da informação: falta de formação aumenta perigo
Jan 26th
Saiu hoje um artigo na Semana Informática, no qual a OWASP Portugal teve a oportunidade de colaborar, em conjunto com o Dinis Cruz (líder OWASP) e com o Miguel Almeida (Consultor Independente de Segurança). Não deixa de ser curioso, que nestes artigos em que nos solicitam a nossa colaboração e nos colocam inúmeras perguntas, que na verdade deram origem a cerca de 8 páginas A4 de respostas, apenas acabam por publicar uma opinião muito sucinta do mesmo. Mas o mais importante mesmo, é termos conseguido colocar lá (parte) da nossa opinião.
Basicamente a nossa posição é muito simples… o mercado de desenvolvimento de aplicações de software software, não tem em linha de conta as preocupações de segurança, o que acaba por provocar que as aplicações lançadas no mercado, não oferecem todas as garantias de segurança necessárias.
Isto acaba por ser mais problemático para as PME que não têm a capacidade quer interna, quer externamente de poderem assegurar-se das condições de segurança das aplicações e sistemas que usam no seu dia a dia, nem conseguem tomar decisões nesse sentido aquando da aquisição desses mesmos sistemas.
Por outro lado, a entrevista acaba por focar outro factor importante que tem que ver com a falta de formação disponível, que prepare programadores e engenheiros de software para o desenvolvimento de aplicações com segurança. Estes não os únicos motivos, mas são os únicos que foram considerados aquando da elaboração do artigo por parte da revista.
De qualquer é uma leitura interessante. Podem encontrar o artigo on-line aqui.
Blogs em português sobre segurança de Informação
Jan 20th
O Sandro Süffert, especialista em Segurança da Informação e blogger, compilou uma lista exaustiva de blogs (até à data são 51 blogs, maioritariamente brasileiros e portugueses) sobre Segurança da Informação.
Esta lista pode ser consultada directamente a partir do seu blog.
IBWAS’09 – Cerimónia de Abertura e Keynote do Bruce Schneier
Jan 15th
Foi finalmente colocada no Youtube a cerimónia de abertura da IBWAS’09, decorreu em Madrid no passado mês de Dezembro, assim como a keynote do Bruce Schneier sobre “O Futuro da Indústria de Segurança”. Se tiverem tempo (cerca de 1h20), vale a pena ver.
IBWAS’09 terminou… viva a IBWAS’10
Dec 29th
No início do mês de Dezembro realizou-se em Madrid a primeira edição da Conferência Ibérica em Segurança de Aplicações Web (IBWAS’09). A organização partiu de uma iniciativa conjunta entre o capítulo português e espanhol da OWASP.
A conferência contou com a presença de um alargado número de researchers e de participantes da indústria, a IBWAS’09 foi um sucesso!
A IBWAS’09 teve a presença de um conjunto de speakers de qualidade (nos quais se destaca a presença de Bruce Schneier, um dos maiores gurus mundiais em Segurança de Informação), que se organizaram em diversos painéis de científicos, de indústria e de keynotes.
No final da conferência foi ainda organizado um painel de discussão em que foram elaboradas um conjunto de recomendações a adoptar pelos governos mundiais em 2010.
Para o ano há mais… e já se prepara a IBWAS’10. A não perder.
IBWAS09 – Conferência em Segurança de Aplicações Web
Nov 30th
First Iberic Conference on Web-Applications Security (IBWAS’09)
Escuela Universitaria de Ingeniería Técnica de Telecomunicacíon – Universidad Politécnica de Madrid
10th – 11th December 2009
Madrid, Spain
http://www.ibwas.com, http://www.owasp.org/index.php/OWASP_AppSec_Iberia_2009
[organised by OWASP Spain and OWASP Portugal]
There is a change in the information systems development paradigm. The emergence of Web 2.0 technologies led to the extensive deployment and use of web-based applications and web services as a way to developed new and flexible information systems. Such systems are easy to develop, deploy and maintain and demonstrate impressive features for users, resulting in their current wide use.
As a result of this paradigm shift, the security requirements have also changed. These web-based information systems have different security requirements, when compared to traditional systems. Important security issues have been found and privacy concerns have also been raised recently. In addition, the emerging Cloud Computing paradigm promises even greater flexibility; however corresponding security and privacy issues still need to be examined. The security environment should involve not only the surrounding environment but also the application core.
This conference will bring together application security experts, researchers, educators and practitioners from the industry, academia and international communities such as OWASP, in order to discuss open problems and new solutions in application security. In the context of this track academic researchers will be able to combine interesting results with the experience of practitioners and software engineers.
Conference proceedings will be published by Springer in the “Communications in Computer and Information Science” (CCIS) series.
Keynote Speakers
—————-
* Bruce Schneier, acclaimed security guru, author, BT CSTO (confirmed)
* Inspector Jorge Martín from the High Tech Crime Unit of the Spanish National Police (confirmed)
Speakers
——–
* Justin Clarke, Gotham Digital Science
* Dinis Cruz, OWASP
* Luis Corrons, Panda Security
* Marc Chisinevski, OWASP
* Simon Roses, Microsoft
* Dave Harper, Fortify Software
* Raul Siles, Taddong
* Miguel Almeida, Independent Security Consultant
* Daniele Catteddu, ENISA
* Kuai Hinojosa, OWASP
* Fabio E Cerullo, OWASP
* Paulo Querido, Publico/Expresso
* Martin Knobloch, OWASP
* Javier Fernández-Sanguino, University Rey Juan Carlos
Agenda
——
The agenda can be found in the following locations:
http://www.ibwas.com/site/programme.html
http://www.owasp.org/index.php/OWASP_AppSec_Iberia_2009#tab=Agenda.2FSchedule
Who should attend?
——————
- Academics
- Researchers
- Lifelong learning educators
- Technical staff
- Secondary, vocational, or tertiary educators
- Professionals from the private and public sector
- Technologists and Scientifics
- School counsellors, principals and teachers
- Education policy development representatives
- General personnel from vocational sectors
- Student counsellors
- Career/employment officers
- Education advisers
- Student Unions
- Bridging program lecturers & support staff
- Library personnel
- International support and services staff
- Open learning specialists
- Application Developers
- Application Testers and Quality Assurance
- Application Project Management and Staff
- Chief Information Officers, Chief Information Security Officers, Chief Technology Officers, Deputies, Associates and Staff
- Chief Financial Officers, Auditors, and Staff Responsible for IT Security Oversight and Compliance
- Security Managers and Staff
- Executives, Managers, and Staff Responsible for IT Security Governance
- IT Professionals Interesting in Improving IT Security
…and any person interested in Web Application and Services Security and Information Security in general.
Conference Topics
—————–
• Secure application development
• Security of service oriented architectures
• Security of development frameworks
• Threat modelling of web applications
• Cloud computing security
• Web applications vulnerabilities and analysis (code review, pen-test, static analysis etc.)
• Metrics for application security
• Countermeasures for web application vulnerabilities
• Secure coding techniques
• Platform or language security features that help secure web applications
• Secure database usage in web applications
• Access control in web applications
• Web services security
• Browser security
• Privacy in web applications
• Standards, certifications and security evaluation criteria for web applications
• Application security awareness and education
• Security for the mobile web
• Attacks and Vulnerability Exploitation
Web-site
http://www.ibwas.com
http://www.owasp.org/index.php/OWASP_AppSec_Iberia_2009
Secretariat
E-mail: secretariat@ibwas.com
