Este evento foi apenas foi possível graças à OWASP, e o sucesso foi apenas possível por que o evento teve uma adesão muito boa da vossa parte. Claro que todos nós temos a ambição de continuar a garantir a realização destes eventos em Portugal, porque já foi possível perceber que os mesmo motivam a comunidade. Para que isso seja possível, e apesar de todo o trabalho ter como base o trabalho e esforço voluntário, estes eventos têm custos, e devem poder ser suportados pela própria delegação nacional

Por isso, gostaria de vos solicitar a vossa colaboração no sentido de motivarem as vossas instituições/organizações a tornarem-se patrocinadores da nossa delegação nacional, possibilitando assim que possamos continuar a organizar eventos com interesse de toda a comunidade, e a convidar speakers verdadeiramente interessantes como o de hoje. Esta seria de facto uma ajuda preciosa…

Para os interessados o vídeo do Samy está aqui (ou vai estar): https://dsi.iscte.pt/videodifusao/sessoes/dcti_20101015/
a apresentação dele, está aqui: http://samy.pl/talks/2010-talk.ppt
Algumas fotos, aqui: http://www.flickr.com/photos/iscteiul/sets/72157625170553132/
E mais algumas aqui: http://www.flickr.com/photos/carlosserrao/sets/72157625047553033/

Obrigado OWASP.

Obrigado Samy.

Obrigado ISCTE-IUL e ADETTI-IUL.

Obrigado a todos vocês.

A apresentação realizar-se-á no ISCTE-IUL, na Av. das Forças Armadas, em Lisboa. Aqui fica o link para o Google Maps.

Acima podem encontrar um mapa da zona envolvente (cliquem na imagem para ficar maior), assim como informação sobre as duas principais entradas do Ed. ISCTE-IUL II (o maior e mais recente):

• uma das entradas é do lado da Av. das Forças Armadas, mas que dá entrada para o piso 2 do edifício – recordo que a apresentação decorre no piso 1, pelo que é necessário descer um piso;
  
• a outra entrada pode ser abordada de duas formas: a) subindo pela rua que vai de Entrecampos, passando ao lado da Biblioteca Nacional, e b) entrando pelo lado do Hospital de Santa Maria. Esta entrada, fica em frente a um parque de estacionamento (pago), onde poderão estacionar (se vierem de carro), e dá directamente para o piso 1.
  

E penso que são todas as instruções que necessitam.

Ficam por isso desde já todos convidados a comparecer, e assistir à apresentação do Samy em terras lusas. A apresentação é livre e gratuita, e os lugares são limitados (cerca de 150). Por isso, agradeço a todos que desejem estar presentes, que se registem em http://samykumkarlisbon.eventbrite.com/.

Mais uma vez o meu agradecimento à OWASP por ter tornado isto possível…

How I Met Your Girlfriend Samy Kamkar ISCTE-IUL (Auditório B1.04) 15 de Outubro 2010, 18h30

Samy Kamkar é mais conhecido pelo primeiro worm XSS (Samy worm) que desenvolveu para o MySpace, e que infectou mais de um milhão de utilizadores em menos de 24 horas. É co-fundador da Fonality, Inc., uma empresa de produtos de IP PBX, e liderou anteriormente o desenvolvimento de todo o software de gestão do servidor de nomes dos domínios de topo para a Global Domains International. Nos últimos 10 anos, o Samy tem-se focado no desenvolvimento de software de algoritmos genéticos e evolucionários, voz sobre IP, pesquisa automática de vulnerabilidades de segurança, reverse engineering, e jogos através da rede.

How I Met Your Girlfriend: nesta palestra, Samy Kamkar vem apresentar a descoberta e execução de uma classe de ataques completamente novos que podem ser executados através da Web por forma a travar conhecimento com a sua namorada. Ao longo da sua apresentação, Samy vai falar de um conjunto de novos ataques descobertos, incluindo HTML5 XSS do lado do cliente (sem que o ataque de XSS chegue ao servidor), roubo de sessões e fraca aleatoriedade de números no PHP (adivinhando com precisão os cookies de sessão em PHP), confusão de protocolos no browser Web (tornando um browser num servidor SMTP), penetração de firewalls e NAT através de Javascript (colocando o router a funcionar contra o utilizador), rapto remoto do Google Maps no iPhone (penetração no iPhone combinado com um ataque man-in-the-middle HTTP), extracção de informação de geo-localização precisa do browser Web (não recorrendo a geo-localização por IP), e muito mais.

Esta sessão, organizada pela OWASP com o suporte do ISCTE-IUL e da ADETTI-IUL, foi igualmente apresentada numa das maiores conferências de Segurança do Mundo, a BlackHat 2010, que se realizou em Las Vegas nos EUA, e faz parte de um Tour Europeu (patrocinado pela OWASP) que o Samy está a realizar (mais de 10 cidades da Europa).

**CALL FOR TRAINING SESSIONS**



IBWAS and OWASP is currently soliciting training proposals for the OWASP Ibero-American Web Applications Security 2010 Conference (IBWAS’10) which will take place at ISCTE-IUL, Lisboa, Portugal, on November 24 through November 26, 2010.

There will be training courses on November 24 followed by plenary sessions on the 25 and 26 with multiple tracks per day.



We are seeking training proposals on the following topics (in no particular order):

- Application Threat Modeling

- Business Risks with Application Security

- Hands-on Source Code Review

- Metrics for Application Security

- OWASP Tools and Projects

- Privacy Concerns with Applications and Data Storage

- Secure Coding Practices (J2EE/.NET)

- Starting and Managing Secure Development Lifecycle Programs

- Technology specific presentations on security such as AJAX, XML, etc

- Web Application Security countermeasures

- Web Application Security Testing

- Web Services, XML and Application Security

- Anything else relating to OWASP and Application Security



Proposals on topics not listed above but related to the conference (i.e. which are related to Application Security) may also be accepted.


To make a submission you must fill out the form available at http://ibwas09.netmust.eu/files/ibwas10/OWASP_IBWAS_2010_CFT.rtf.zip and submit by email to secretariat@ibwas.com.

There may be 1 or half a day courses. The proposals must respect the restrictions of the OWASP Speaker Agreement. The conference will reward trainers with at least 30% of the total revenue of their courses, based on a minimum attendance. Courses that attract more students may be granted higher percentages. No other compensation (such as tickets or lodging) will be provided. If you require a different arrangement, please contact the conference chair at the email address below.

**Compensation**
Instructors and authors will be paid based on the number of students in their training sessions. If the training gathers only the minimum number of students, the compensation will be 30% of the revenue. For each group of 10 extra students enrolled, the compensation will be increased by 5% of the revenue, up to a maximum of 45% of the training revenue. For example, a 1-day training with 10 to 19 students will generate a compensation of 30% of the revenue. For classes of 20 to 29 students, the compensation raises to 35% percent of the revenue.

In exceptional cases, different compensation schemes may be accepted. Please contact the conference organization team by email (secretariat@ibwas.com) for details.

**Training cost**
half-day training: 250 EUR per student
1-day training: 450 EUR per student
All prices in Euros (EUR)

**Minimum number of students**
half-day trainings: 10 students
1-day trainings: 20 students


**Important Dates:**

Submission deadline is September 20, 2010.

Notification of acceptance will be October 8, 2010.

Final version is due October 29, 2010.



The conference organization team may be contacted by email at secretariat@ibwas.com



For more information, please see the following web pages:
Conference Website: http://www.ibwas.com, http://www.owasp.org/index.php/IBWAS10
OWASP Speaker Agreement: http://www.owasp.org/index.php/Speaker_Agreement
OWASP Website: http://www.owasp.org
Easychair conference site: http://www.easychair.org/conferences/?conf=ibwas10
Presentation proposal form: http://ibwas09.netmust.eu/files/ibwas10/OWASP_IBWAS_2010_CFT.rtf.zip

********** WARNING: Submissions without all the information requested in the proposal form will not be considered ************

Please forward to all interested practitioners and colleagues.

Assim, optou-se por adiar a realização da conferência IBWAS’10 por duas semanas, sendo que as novas datas são dia 25 e 26 de Novembro.

Aproveito igualmente para informar que os prazos para a submissão de artigos foram igualmente estendidos.

Continuamos apostados em fazer da IBWAS’10 um excelente evento na área da segurança de informação.

Nesta série de artigos, são abordados os diversos riscos identificados pelo OWASP Top 10, sendo explicados detalhadamente cada um deles, com exemplos, numa perspectiva de um programador de .Net.

Para já, já existem os seguintes artigos sobre três dos principais riscos:

• Injecção
• Cross-Site Scripting (XSS)
• Quebra de Autenticação e da Gestão de Sessões

O WIP reuniu-se em Lisboa, no ISCTE-IUL, no seu 11º encontro anual, a ter lugar entre 6 e 8 de Julho, e juntou um conjunto de pessoas de todo o mundo que discutem alguns dos problemas com a actual Internet.

Estive lá, e fiz uma apresentação muito sucinta de alguns dos problemas da WWW, e do OWASP.

Aqui está a apresentação.

Ok, mas o que é isto do Fuzzing e para que serve?

Nada melhor do que usar a definição na Wikipedia, que define o Fuzz testing ou fuzzing como sendo uma técnica de testes a software que passa input inválido, inesperado e aleatório para uma determinada aplicação de software. Se o programa falhar (por exemplo se crashar), é possível detectar os defeitos do mesmo.

No caso específico do JBroFuzz, trata-se de um fuzzer específico para aplicações web. O JBroFuzz pode ser utilizado para enviar pedidos fuzzing para aplicações web, através do protocolo HTTP ou HTTPS.

A ferramenta gera pedidos, envia-os para a aplicação em cause e regista as respostas que recebe de volta. Não tenta identificar se um determinado site é vulnerável ou não, necessitando depois intervenção e análise manual.

Mais uma ferramenta da OWASP, a juntar à colecção de excelentes recursos disponibilizados gratuitamente pela organização.