Segurança de Aplicações Web
Posts tagged portugal
Samy Kamkar, só para finalizar…
Oct 15th
Caros, o evento hoje do Samy Kamkar foi mesmo muito bom. Foi bom por diversos motivos, mas acima de tudo por que o Samy é um excelente speaker, e porque a comunidade aderiu em força e participou no evento.
Este evento foi apenas foi possível graças à OWASP, e o sucesso foi apenas possível por que o evento teve uma adesão muito boa da vossa parte. Claro que todos nós temos a ambição de continuar a garantir a realização destes eventos em Portugal, porque já foi possível perceber que os mesmo motivam a comunidade. Para que isso seja possível, e apesar de todo o trabalho ter como base o trabalho e esforço voluntário, estes eventos têm custos, e devem poder ser suportados pela própria delegação nacional
Por isso, gostaria de vos solicitar a vossa colaboração no sentido de motivarem as vossas instituições/organizações a tornarem-se patrocinadores da nossa delegação nacional, possibilitando assim que possamos continuar a organizar eventos com interesse de toda a comunidade, e a convidar speakers verdadeiramente interessantes como o de hoje. Esta seria de facto uma ajuda preciosa…
Para os interessados o vídeo do Samy está aqui (ou vai estar): https://dsi.iscte.pt/videodifusao/sessoes/dcti_20101015/
a apresentação dele, está aqui: http://samy.pl/talks/2010-talk.ppt
Algumas fotos, aqui: http://www.flickr.com/photos/iscteiul/sets/72157625170553132/
E mais algumas aqui: http://www.flickr.com/photos/carlosserrao/sets/72157625047553033/
Obrigado OWASP.
Obrigado Samy.
Obrigado ISCTE-IUL e ADETTI-IUL.
Obrigado a todos vocês.
Samy Kamkar – video-difusão
Oct 15th
Para quem não pode estar presente na palestra do Samy Kamkar hoje no ISCTE-IUL, aqui fica o link para a página onde o evento vai ser transmitido online: http://iscte.pt/videodifusao.jsp (18h30 GMT+1)
Samy Kamkar – Como chegar…?
Oct 14th
Para todos aqueles que estão registados para estarem presentes para assistir à apresentação do Samy Kamkar no ISCTE-IUL, aqui fica alguma informação útil para poderem encontrar de imediato a localização do local da apresentação (Ed. ISCTE-IUL II, Piso 1, Auditório B1.04).
A apresentação realizar-se-á no ISCTE-IUL, na Av. das Forças Armadas, em Lisboa. Aqui fica o link para o Google Maps.
Acima podem encontrar um mapa da zona envolvente (cliquem na imagem para ficar maior), assim como informação sobre as duas principais entradas do Ed. ISCTE-IUL II (o maior e mais recente):
- uma das entradas é do lado da Av. das Forças Armadas, mas que dá entrada para o piso 2 do edifício – recordo que a apresentação decorre no piso 1, pelo que é necessário descer um piso;
- a outra entrada pode ser abordada de duas formas: a) subindo pela rua que vai de Entrecampos, passando ao lado da Biblioteca Nacional, e b) entrando pelo lado do Hospital de Santa Maria. Esta entrada, fica em frente a um parque de estacionamento (pago), onde poderão estacionar (se vierem de carro), e dá directamente para o piso 1.
E penso que são todas as instruções que necessitam.
Samy Kamkar em Lisboa. Obrigado OWASP!
Sep 24th
Graças à OWASP conseguimos trazer o Samy Kamkar a Portugal, e integrar Lisboa, na lista de cidades europeias que o Samy está a percorrer durante Setembro e Outubro (detalhes abaixo).
Ficam por isso desde já todos convidados a comparecer, e assistir à apresentação do Samy em terras lusas. A apresentação é livre e gratuita, e os lugares são limitados (cerca de 150). Por isso, agradeço a todos que desejem estar presentes, que se registem em http://samykumkarlisbon.eventbrite.com/.
Mais uma vez o meu agradecimento à OWASP por ter tornado isto possível…
How I Met Your Girlfriend Samy Kamkar ISCTE-IUL (Auditório B1.04) 15 de Outubro 2010, 18h30
Samy Kamkar é mais conhecido pelo primeiro worm XSS (Samy worm) que desenvolveu para o MySpace, e que infectou mais de um milhão de utilizadores em menos de 24 horas. É co-fundador da Fonality, Inc., uma empresa de produtos de IP PBX, e liderou anteriormente o desenvolvimento de todo o software de gestão do servidor de nomes dos domínios de topo para a Global Domains International.
Nos últimos 10 anos, o Samy tem-se focado no desenvolvimento de software de algoritmos genéticos e evolucionários, voz sobre IP, pesquisa automática de vulnerabilidades de segurança, reverse engineering, e jogos através da rede.
How I Met Your Girlfriend: nesta palestra, Samy Kamkar vem apresentar a descoberta e execução de uma classe de ataques completamente novos que podem ser executados através da Web por forma a travar conhecimento com a sua namorada. Ao longo da sua apresentação, Samy vai falar de um conjunto de novos ataques descobertos, incluindo HTML5 XSS do lado do cliente (sem que o ataque de XSS chegue ao servidor), roubo de sessões e fraca aleatoriedade de números no PHP (adivinhando com precisão os cookies de sessão em PHP), confusão de protocolos no browser Web (tornando um browser num servidor SMTP), penetração de firewalls e NAT através de Javascript (colocando o router a funcionar contra o utilizador), rapto remoto do Google Maps no iPhone (penetração no iPhone combinado com um ataque man-in-the-middle HTTP), extracção de informação de geo-localização precisa do browser Web (não recorrendo a geo-localização por IP), e muito mais.
Esta sessão, organizada pela OWASP com o suporte do ISCTE-IUL e da ADETTI-IUL, foi igualmente apresentada numa das maiores conferências de Segurança do Mundo, a BlackHat 2010, que se realizou em Las Vegas nos EUA, e faz parte de um Tour Europeu (patrocinado pela OWASP) que o Samy está a realizar (mais de 10 cidades da Europa).
OWASP IBWAS’10 Call for Training Proposals
Jul 28th
2nd. OWASP Ibero-American Web-Applications Security conference (IBWAS’10)
ISCTE – Lisbon University Institute
25th – 26th November 2010
Lisboa, Portugal
http://www.ibwas.com
**CALL FOR TRAINING SESSIONS**
IBWAS and OWASP is currently soliciting training proposals for the OWASP Ibero-American Web Applications Security 2010 Conference (IBWAS’10) which will take place at ISCTE-IUL, Lisboa, Portugal, on November 24 through November 26, 2010.
There will be training courses on November 24 followed by plenary sessions on the 25 and 26 with multiple tracks per day.
We are seeking training proposals on the following topics (in no particular order):
- Application Threat Modeling
- Business Risks with Application Security
- Hands-on Source Code Review
- Metrics for Application Security
- OWASP Tools and Projects
- Privacy Concerns with Applications and Data Storage
- Secure Coding Practices (J2EE/.NET)
- Starting and Managing Secure Development Lifecycle Programs
- Technology specific presentations on security such as AJAX, XML, etc
- Web Application Security countermeasures
- Web Application Security Testing
- Web Services, XML and Application Security
- Anything else relating to OWASP and Application Security
Proposals on topics not listed above but related to the conference (i.e. which are related to Application Security) may also be accepted.
To make a submission you must fill out the form available at http://ibwas09.netmust.eu/files/ibwas10/OWASP_IBWAS_2010_CFT.rtf.zip and submit by email to secretariat@ibwas.com.
There may be 1 or half a day courses. The proposals must respect the restrictions of the OWASP Speaker Agreement. The conference will reward trainers with at least 30% of the total revenue of their courses, based on a minimum attendance. Courses that attract more students may be granted higher percentages. No other compensation (such as tickets or lodging) will be provided. If you require a different arrangement, please contact the conference chair at the email address below.
**Compensation**
Instructors and authors will be paid based on the number of students in their training sessions. If the training gathers only the minimum number of students, the compensation will be 30% of the revenue. For each group of 10 extra students enrolled, the compensation will be increased by 5% of the revenue, up to a maximum of 45% of the training revenue. For example, a 1-day training with 10 to 19 students will generate a compensation of 30% of the revenue. For classes of 20 to 29 students, the compensation raises to 35% percent of the revenue.
In exceptional cases, different compensation schemes may be accepted. Please contact the conference organization team by email (secretariat@ibwas.com) for details.
**Training cost**
half-day training: 250 EUR per student
1-day training: 450 EUR per student
All prices in Euros (EUR)
**Minimum number of students**
half-day trainings: 10 students
1-day trainings: 20 students
**Important Dates:**
Submission deadline is September 20, 2010.
Notification of acceptance will be October 8, 2010.
Final version is due October 29, 2010.
The conference organization team may be contacted by email at secretariat@ibwas.com
For more information, please see the following web pages:
Conference Website: http://www.ibwas.com, http://www.owasp.org/index.php/IBWAS10
OWASP Speaker Agreement: http://www.owasp.org/index.php/Speaker_Agreement
OWASP Website: http://www.owasp.org
Easychair conference site: http://www.easychair.org/conferences/?conf=ibwas10
Presentation proposal form: http://ibwas09.netmust.eu/files/ibwas10/OWASP_IBWAS_2010_CFT.rtf.zip
********** WARNING: Submissions without all the information requested in the proposal form will not be considered ************
Please forward to all interested practitioners and colleagues.
IBWAS’10 muda de data
Jul 15th
A 2ª Conferência Ibero-Americana em Segurança de Aplicações Web (IBero-american Web Application Security conference – IBWAS), alterou as suas datas de realização, devido ao facto de que o OWASP SUMMIT 2010, ter sido marcado para uma data que era coincidente com a IBWAS’10, impedindo assim que muitos dos membros da OWASP perdessem a oportunidade de estarem presentes em ambos os eventos.
Assim, optou-se por adiar a realização da conferência IBWAS’10 por duas semanas, sendo que as novas datas são dia 25 e 26 de Novembro.
Aproveito igualmente para informar que os prazos para a submissão de artigos foram igualmente estendidos.
Continuamos apostados em fazer da IBWAS’10 um excelente evento na área da segurança de informação.
Just 4 Meeting
Jun 18th
É já nos próximos dias 25, 26 e 27 que se vai realizar o evento Just 4 Meeting, Information Security Meeting, Workshops and Training Sessions.
Eu vou lá estar…
Estou particularmente interessado nas seguintes sessões:
- 100% hands-on W3AF
- DDos
Podem consultar a agenda aqui, assim como podem ver o cartaz do evento aqui.
Depois conto como foi.
(ISC)2 CISSP CBK – 2nd. Review Seminar
Apr 21st
A Shadowsec vai organizar o segundo (ISC)2 CISSP CBK Review Seminar oficial em Portugal entre 13 e 17 de Setembro, culminando o mesmo com o exame que irá ter lugar a 13 de Outubro.
O local onde o segundo (ISC)2 CISSP CBK Review Seminar e o exame vão ter lugar é no Hotel Riviera, em Carcavelos, e o número de estimado de delegados para o evento está estimado entre 20 a 30.
Para mais informação, podem consultar toda a informação a partir desta página.
Bom e mau exemplo nacional
Apr 5th
Deparei-me hoje com uma notícia no jornal “i” que me despertou a atenção. Noticiava o trabalho de um cientista português que havia desenvolvido uma nova técnica de encriptação que servia para cifrar mensagens no meio do caos. Bruno Romeira, um investigador da Universidade do Algarve, descobriu como tirar partido do caos para codificar dados na fibra óptica, o que lhe valeu um prémio de 12500 euros da Fundação Calouste Gulbenkian para o ajudar a construir o protótipo. Sem dúvida um excelente exemplo de como existem bons cérebros em Portugal a trabalhar na área da segurança de informação.
Por outro lado não poderia deixar passar em claro o menos bom trabalho jornalístico deste artigo. Se por um lado dizem:
Se um hacker quiser decifrar a mensagem secreta, terá de sincronizar emissor e receptor, já que neste sistema não há código–chave.
por outro, dizem precisamente o contrário:
A mensagem está dentro do ruído. E é indecifrável.
Mas em que é que ficamos…? É indecifrável ou não é? Eu sei que é extremamente complexo (para não dizer quase impossível) conseguir sincronizar o emissor e receptor da mensagem (para um atacante), mas isso não fica claro no artigo…
Parabéns ao Bruno Romeira. Mau trabalho no artigo do i.
Segurança da informação: falta de formação aumenta perigo
Jan 26th
Saiu hoje um artigo na Semana Informática, no qual a OWASP Portugal teve a oportunidade de colaborar, em conjunto com o Dinis Cruz (líder OWASP) e com o Miguel Almeida (Consultor Independente de Segurança). Não deixa de ser curioso, que nestes artigos em que nos solicitam a nossa colaboração e nos colocam inúmeras perguntas, que na verdade deram origem a cerca de 8 páginas A4 de respostas, apenas acabam por publicar uma opinião muito sucinta do mesmo. Mas o mais importante mesmo, é termos conseguido colocar lá (parte) da nossa opinião.
Basicamente a nossa posição é muito simples… o mercado de desenvolvimento de aplicações de software software, não tem em linha de conta as preocupações de segurança, o que acaba por provocar que as aplicações lançadas no mercado, não oferecem todas as garantias de segurança necessárias.
Isto acaba por ser mais problemático para as PME que não têm a capacidade quer interna, quer externamente de poderem assegurar-se das condições de segurança das aplicações e sistemas que usam no seu dia a dia, nem conseguem tomar decisões nesse sentido aquando da aquisição desses mesmos sistemas.
Por outro lado, a entrevista acaba por focar outro factor importante que tem que ver com a falta de formação disponível, que prepare programadores e engenheiros de software para o desenvolvimento de aplicações com segurança. Estes não os únicos motivos, mas são os únicos que foram considerados aquando da elaboração do artigo por parte da revista.
De qualquer é uma leitura interessante. Podem encontrar o artigo on-line aqui.
