Este evento foi apenas foi possível graças à OWASP, e o sucesso foi apenas possível por que o evento teve uma adesão muito boa da vossa parte. Claro que todos nós temos a ambição de continuar a garantir a realização destes eventos em Portugal, porque já foi possível perceber que os mesmo motivam a comunidade. Para que isso seja possível, e apesar de todo o trabalho ter como base o trabalho e esforço voluntário, estes eventos têm custos, e devem poder ser suportados pela própria delegação nacional

Por isso, gostaria de vos solicitar a vossa colaboração no sentido de motivarem as vossas instituições/organizações a tornarem-se patrocinadores da nossa delegação nacional, possibilitando assim que possamos continuar a organizar eventos com interesse de toda a comunidade, e a convidar speakers verdadeiramente interessantes como o de hoje. Esta seria de facto uma ajuda preciosa…

Para os interessados o vídeo do Samy está aqui (ou vai estar): https://dsi.iscte.pt/videodifusao/sessoes/dcti_20101015/
a apresentação dele, está aqui: http://samy.pl/talks/2010-talk.ppt
Algumas fotos, aqui: http://www.flickr.com/photos/iscteiul/sets/72157625170553132/
E mais algumas aqui: http://www.flickr.com/photos/carlosserrao/sets/72157625047553033/

Obrigado OWASP.

Obrigado Samy.

Obrigado ISCTE-IUL e ADETTI-IUL.

Obrigado a todos vocês.

A apresentação realizar-se-á no ISCTE-IUL, na Av. das Forças Armadas, em Lisboa. Aqui fica o link para o Google Maps.

Acima podem encontrar um mapa da zona envolvente (cliquem na imagem para ficar maior), assim como informação sobre as duas principais entradas do Ed. ISCTE-IUL II (o maior e mais recente):

• uma das entradas é do lado da Av. das Forças Armadas, mas que dá entrada para o piso 2 do edifício – recordo que a apresentação decorre no piso 1, pelo que é necessário descer um piso;
  
• a outra entrada pode ser abordada de duas formas: a) subindo pela rua que vai de Entrecampos, passando ao lado da Biblioteca Nacional, e b) entrando pelo lado do Hospital de Santa Maria. Esta entrada, fica em frente a um parque de estacionamento (pago), onde poderão estacionar (se vierem de carro), e dá directamente para o piso 1.
  

E penso que são todas as instruções que necessitam.

Ficam por isso desde já todos convidados a comparecer, e assistir à apresentação do Samy em terras lusas. A apresentação é livre e gratuita, e os lugares são limitados (cerca de 150). Por isso, agradeço a todos que desejem estar presentes, que se registem em http://samykumkarlisbon.eventbrite.com/.

Mais uma vez o meu agradecimento à OWASP por ter tornado isto possível…

How I Met Your Girlfriend Samy Kamkar ISCTE-IUL (Auditório B1.04) 15 de Outubro 2010, 18h30

Samy Kamkar é mais conhecido pelo primeiro worm XSS (Samy worm) que desenvolveu para o MySpace, e que infectou mais de um milhão de utilizadores em menos de 24 horas. É co-fundador da Fonality, Inc., uma empresa de produtos de IP PBX, e liderou anteriormente o desenvolvimento de todo o software de gestão do servidor de nomes dos domínios de topo para a Global Domains International. Nos últimos 10 anos, o Samy tem-se focado no desenvolvimento de software de algoritmos genéticos e evolucionários, voz sobre IP, pesquisa automática de vulnerabilidades de segurança, reverse engineering, e jogos através da rede.

How I Met Your Girlfriend: nesta palestra, Samy Kamkar vem apresentar a descoberta e execução de uma classe de ataques completamente novos que podem ser executados através da Web por forma a travar conhecimento com a sua namorada. Ao longo da sua apresentação, Samy vai falar de um conjunto de novos ataques descobertos, incluindo HTML5 XSS do lado do cliente (sem que o ataque de XSS chegue ao servidor), roubo de sessões e fraca aleatoriedade de números no PHP (adivinhando com precisão os cookies de sessão em PHP), confusão de protocolos no browser Web (tornando um browser num servidor SMTP), penetração de firewalls e NAT através de Javascript (colocando o router a funcionar contra o utilizador), rapto remoto do Google Maps no iPhone (penetração no iPhone combinado com um ataque man-in-the-middle HTTP), extracção de informação de geo-localização precisa do browser Web (não recorrendo a geo-localização por IP), e muito mais.

Esta sessão, organizada pela OWASP com o suporte do ISCTE-IUL e da ADETTI-IUL, foi igualmente apresentada numa das maiores conferências de Segurança do Mundo, a BlackHat 2010, que se realizou em Las Vegas nos EUA, e faz parte de um Tour Europeu (patrocinado pela OWASP) que o Samy está a realizar (mais de 10 cidades da Europa).

**CALL FOR TRAINING SESSIONS**



IBWAS and OWASP is currently soliciting training proposals for the OWASP Ibero-American Web Applications Security 2010 Conference (IBWAS’10) which will take place at ISCTE-IUL, Lisboa, Portugal, on November 24 through November 26, 2010.

There will be training courses on November 24 followed by plenary sessions on the 25 and 26 with multiple tracks per day.



We are seeking training proposals on the following topics (in no particular order):

- Application Threat Modeling

- Business Risks with Application Security

- Hands-on Source Code Review

- Metrics for Application Security

- OWASP Tools and Projects

- Privacy Concerns with Applications and Data Storage

- Secure Coding Practices (J2EE/.NET)

- Starting and Managing Secure Development Lifecycle Programs

- Technology specific presentations on security such as AJAX, XML, etc

- Web Application Security countermeasures

- Web Application Security Testing

- Web Services, XML and Application Security

- Anything else relating to OWASP and Application Security



Proposals on topics not listed above but related to the conference (i.e. which are related to Application Security) may also be accepted.


To make a submission you must fill out the form available at http://ibwas09.netmust.eu/files/ibwas10/OWASP_IBWAS_2010_CFT.rtf.zip and submit by email to secretariat@ibwas.com.

There may be 1 or half a day courses. The proposals must respect the restrictions of the OWASP Speaker Agreement. The conference will reward trainers with at least 30% of the total revenue of their courses, based on a minimum attendance. Courses that attract more students may be granted higher percentages. No other compensation (such as tickets or lodging) will be provided. If you require a different arrangement, please contact the conference chair at the email address below.

**Compensation**
Instructors and authors will be paid based on the number of students in their training sessions. If the training gathers only the minimum number of students, the compensation will be 30% of the revenue. For each group of 10 extra students enrolled, the compensation will be increased by 5% of the revenue, up to a maximum of 45% of the training revenue. For example, a 1-day training with 10 to 19 students will generate a compensation of 30% of the revenue. For classes of 20 to 29 students, the compensation raises to 35% percent of the revenue.

In exceptional cases, different compensation schemes may be accepted. Please contact the conference organization team by email (secretariat@ibwas.com) for details.

**Training cost**
half-day training: 250 EUR per student
1-day training: 450 EUR per student
All prices in Euros (EUR)

**Minimum number of students**
half-day trainings: 10 students
1-day trainings: 20 students


**Important Dates:**

Submission deadline is September 20, 2010.

Notification of acceptance will be October 8, 2010.

Final version is due October 29, 2010.



The conference organization team may be contacted by email at secretariat@ibwas.com



For more information, please see the following web pages:
Conference Website: http://www.ibwas.com, http://www.owasp.org/index.php/IBWAS10
OWASP Speaker Agreement: http://www.owasp.org/index.php/Speaker_Agreement
OWASP Website: http://www.owasp.org
Easychair conference site: http://www.easychair.org/conferences/?conf=ibwas10
Presentation proposal form: http://ibwas09.netmust.eu/files/ibwas10/OWASP_IBWAS_2010_CFT.rtf.zip

********** WARNING: Submissions without all the information requested in the proposal form will not be considered ************

Please forward to all interested practitioners and colleagues.

Assim, optou-se por adiar a realização da conferência IBWAS’10 por duas semanas, sendo que as novas datas são dia 25 e 26 de Novembro.

Aproveito igualmente para informar que os prazos para a submissão de artigos foram igualmente estendidos.

Continuamos apostados em fazer da IBWAS’10 um excelente evento na área da segurança de informação.

Eu vou lá estar…

Estou particularmente interessado nas seguintes sessões:

• 100% hands-on W3AF
  
• DDos
  

Podem consultar a agenda aqui, assim como podem ver o cartaz do evento aqui.

Depois conto como foi.

O local onde o segundo (ISC)2 CISSP CBK Review Seminar e o exame vão ter lugar é no Hotel Riviera, em Carcavelos, e o número de estimado de delegados para o evento está estimado entre 20 a 30.

Para mais informação, podem consultar toda a informação a partir desta página.

Por outro lado não poderia deixar passar em claro o menos bom trabalho jornalístico deste artigo. Se por um lado dizem:

Se um hacker quiser decifrar a mensagem secreta, terá de sincronizar emissor e receptor, já que neste sistema não há código–chave.

por outro, dizem precisamente o contrário:

A mensagem está dentro do ruído. E é indecifrável.

Mas em que é que ficamos…? É indecifrável ou não é? Eu sei que é extremamente complexo (para não dizer quase impossível) conseguir sincronizar o emissor e receptor da mensagem (para um atacante), mas isso não fica claro no artigo…

Parabéns ao Bruno Romeira. Mau trabalho no artigo do i.

Basicamente a nossa posição é muito simples… o mercado de desenvolvimento de aplicações de software software, não tem em linha de conta as preocupações de segurança, o que acaba por provocar que as aplicações lançadas no mercado, não oferecem todas as garantias de segurança necessárias.

Isto acaba por ser mais problemático para as PME que não têm a capacidade quer interna, quer externamente de poderem assegurar-se das condições de segurança das aplicações e sistemas que usam no seu dia a dia, nem conseguem tomar decisões nesse sentido aquando da aquisição desses mesmos sistemas.

Por outro lado, a entrevista acaba por focar outro factor importante que tem que ver com a falta de formação disponível, que prepare programadores e engenheiros de software para o desenvolvimento de aplicações com segurança. Estes não os únicos motivos, mas são os únicos que foram considerados aquando da elaboração do artigo por parte da revista.

De qualquer é uma leitura interessante. Podem encontrar o artigo on-line aqui.