Portuguese

= OWASP Portugal =

Pode visitar o nosso blog em http://webappsec.netmust.eu

Samy Kamkar em Lisboa (ISCTE-IUL), Outubro 15
Graças à OWASP foi possível trazer o Samy Kamkar a Portugal, e integrar Lisboa, na lista de cidades europeias que o Samy está a percorrer durante Setembro e Outubro.

Ficam por isso desde já todos convidados a comparecer e a divulgarem este email junto de potenciais interessados, para assistir à apresentação do Samy em terras lusas. A apresentação é livre e gratuita, e os lugares são limitados (cerca de 150). Por isso, agradeço a todos que desejem estar presentes, que se inscrevam a partir do seguinte site: http://samykumkarlisbon.eventbrite.com/.

Na seguinte página podem encontrar instruções sobre como podem chegar ao local do evento: http://webappsec.netmust.eu/2010/10/14/samy-kamkar-como-chegar/ .

OWASP Ibero-American Web Applications Security Conference 2010 (IBWAS'10), Novembro 25-26
http://www.allofads.com/files/ibwas10/PromoIBWAS10-700px.jpg

IBWAS'10 site

Informação Geral
The content of this page will be mostly in portuguese.


 * mailinglistsite=http://lists.owasp.org/mailman/listinfo/owasp-portuguese |emailarchives=http://lists.owasp.org/pipermail/owasp-portuguese}}

Sejam bem vindos à página principal da secção Portuguesa do OWASP. Um dos lideres deste capítulo da OWASP é [mailto:carlos.serrao@iscte.pt Carlos Serrao] ([mailto:carlos.j.serrao@gmail.com contacto alternativo]).

O conteúdo destas páginas estarão maioritariamente em português.

Participação
As reuniões das secções OWASP são livres e abertas para que todos os interessados em segurança das aplicações. Encorajamos os membros a efectuarem apresentações em tópicos específicos e que contribuam para a secção OWASP local através da partilha do seu conhecimento com terceiros. Antes de colaborar com o OWASP reveja por favor as Chapter Rules.

Para assinar a lista de email, visite por favor a página da nossa mailing list. A lista é utilizada para discutir as reuniões e para organizar as mesmas. Pode igualmente consultar os arquivos email archives para se inteirar o que o resto dos participantes tem andado a discutir. Por favor verifique a lista antes de vir a uma reunião para confirmar o local e a hora da mesma e para consultar alguma informação de última hora.

Actividades Locais
Existem múltiplas formas de colaborar com a nossa secção local do OWASP


 * Participando em alguns dos projectos activos (documentação e ferramentas)
 * Propondo novos projectos
 * Discussão de ideias na nossa lista de correio electrónico
 * Participação nas nossas reuniões
 * Assistir às conferências
 * Ceder espaço para alguns dos nossos eventos
 * Promover e oferecer suporte à comunidade OWASP em geral

Notícias Locais
2010.09.24 Ficou hoje confirmada a presença de Samy Kamkar em Lisboa, no ISCTE-IUL, para apresentar "How I Met Your Girlfriend", num circuito por cidades Europeias, patrocinado pela OWASP.

2010.04.26 Reunião do OWASP.PT para estabelecer alguns planos para o desenvolvimento do capítulo para os próximos tempos.

2010.04.25 Reunião do OWASP.PT para preparar a reunião com a UMIC.

2010.04.21 Workshop de Segurança Aplicacional no ISCTE-IUL.

2009.11.26

Já está disponível aqui a agenda provisória da IBWAS'09, um dos maiores eventos em segurança aplicacional da Europa e da Península Ibérica, levada a cabo pela OWASP Portugal e Espanha.

2008.01.10

Depois de algum tempo de inactividade deste chapter português, o mesmo encontra-se agora em actividade, e o nosso objectivo é dinamizá-lo o melhor que pudermos e soubermos.

OWASP traz Samy Kamkar a Lisboa (ISCTE-IUL), 15 de Outubro de 2010, 18h30
Foi possível graças à OWASP trazer Samy Kamkar a Portugal, e integrar Lisboa, na lista de cidades europeias que o Samy está a percorrer durante Setembro e Outubro.

Ficam por isso desde já todos convidados a comparecer, e assistir à apresentação do Samy em terras lusas. A apresentação é livre e gratuita, e os lugares são limitados (cerca de 150). Quem desejar estar presente deve realizar a sua inscrição no evento em http://samykumkarlisbon.eventbrite.com/.

How I Met Your Girlfriend

Samy Kamkar

ISCTE-IUL (Auditório B1.04)

15 de Outubro 2010, 18h30

Samy Kamkar é mais conhecido pelo primeiro worm XSS (Samy worm) que desenvolveu para o MySpace, e que infectou mais de um milhão de utilizadores em menos de 24 horas. É co-fundador da Fonality, Inc., uma empresa de produtos de IP PBX, e liderou anteriormente o desenvolvimento de todo o software de gestão do servidor de nomes dos domínios de topo para a Global Domains International. Nos últimos 10 anos, o Samy tem-se focado no desenvolvimento de software de algoritmos genéticos e evolucionários, voz sobre IP, pesquisa automática de vulnerabilidades de segurança, reverse engineering, e jogos através da rede.

How I Met Your Girlfriend: nesta palestra, Samy Kamkar vem apresentar a descoberta e execução de uma classe de ataques completamente novos que podem ser executados através da Web por forma a travar conhecimento com a sua namorada. Ao longo da sua apresentação, Samy vai falar de um conjunto de novos ataques descobertos, incluindo HTML5 XSS do lado do cliente (sem que o ataque de XSS chegue ao servidor), roubo de sessões e fraca aleatoriedade de números no PHP (adivinhando com precisão os cookies de sessão em PHP), confusão de protocolos no browser Web (tornando um browser num servidor SMTP), penetração de firewalls e NAT através de Javascript (colocando o router a funcionar contra o utilizador), rapto remoto do Google Maps no iPhone (penetração no iPhone combinado com um ataque man-in-the-middle HTTP), extracção de informação de geo-localização precisa do browser Web (não recorrendo a geo-localização por IP), e muito mais.

Esta sessão, organizada pela OWASP com o suporte do ISCTE-IUL e da ADETTI-IUL, foi igualmente apresentada numa das maiores conferências de Segurança do Mundo, a BlackHat 2010, que se realizou em Las Vegas nos EUA, e faz parte de um Tour Europeu que o Samy está a realizar (mais de 10 cidades da Europa).

Workshop OWASP de Segurança Aplicacional, 21 de Abril de 2010, 14h00
Organizado pelo ISCTE-IUL/DCTI, Adetti e OWASP Portugal, o evento “Workshop de Segurança Aplicacional” vai procurar apresentar aos presentes um pouco sobre o que é a actividade da OWASP, as principais vulnerabilidades aplicacionais, e dar alguns exemplos de segurança relacionados com a plataforma de desenvolvimento PHP.

O evento é gratuito, vai realizar-se no ISCTE-IUL no próximo dia 21 de Abril às 14h00, e conta com a seguinte agenda. http://webappsec.netmust.eu/wp-content/uploads/2010/04/OWASP_2010_ISCTE-IUL_Agenda-thumb.png

Quem estiver interessado ou curioso nestas áreas da segurança aplicacional, apenas tem que aparecer.

Fica feito o convite.

(Nota: aqui fica a localização do mesmo)

Download das apresentações

Apresentação da OWASP e do OWASP Portugal: http://www.slideshare.net/pontocom/owaspiscte-iul-apresentacao

OWASP Top 10 2010: http://www.slideshare.net/pontocom/owasp-iscteiul-owasp-top-10-2010

Segurança em PHP: http://www.slideshare.net/pontocom/owasp-iscteiul-segurana-em-php

Criptografia em PHP: http://www.slideshare.net/pontocom/owaspiscte-iul-criptografiaemphp

Aplicações para Auditoria de Vulnerabilidades em Aplicações Web: http://www.slideshare.net/pontocom/owaspiscte-iul-ferramentasanalisevulnerabilidades

OWASP Portugal Meeting Covilhã
14 de Maio de 2009, Covilhã Universidade da Beira Interior

Decorreu no passado dia 14 de Maio, uma apresentação do OWASP, dos documentos e ferramentas na UBI, numa sessão dinamizada pelo Professor Mário Freire, e um conjunto de alunos de Mestrado, na UBI.

OWASP Portugal Kick-Off Meeting
2 de Abril de 2009, Castelo Branco Instituto Politécnico de Castelo Branco, Escola Superior de Tecnologia

No próximo dia 2 de Abril vai realizar-se, a primeira reunião do Charter Português da OWASP (Kick-Off Meeting), que irá ter lugar em Castelo Branco, na Escola Superior de Tecnologia em parceria com o núcleo regional do IEEE. Nesta reunião pretende-se efectuar uma breve apresentação do OWASP e do OWASP@PT e projectos relacionados e assim dar a conhecê-los à comunidade em geral.

Agenda
14h00-14h10 Recepção e Boas-Vindas (Carlos Serrão (OWASP@PT), Joaquim Marques (OWASP@PT), Prof. Mário Freire (Chair do Computer Society Portugal Chapter do IEEE)

14h10-14h30 Apresentação do OWASP e Projectos (Carlos Serrão (OWASP@PT))

14h30-14h50 Apresentação do OWASP@PT, Objectivos e Projectos (Carlos Serrão (OWASP@PT))

14h50-15h20 Apresentação do IEEE (Prof. Mário Freire)

15h20-15h50 OWASP Top Ten (Carlos Serrão (OWASP@PT))

15h50-16h20 OWASP Tools (Joaquim Marques (OWASP@PT))

16h20-16h40 Conclusões e Debate

Condições de Participação
O evento é absolutamente gratuito. Basta aparecer e participar. No entanto, e por questões logísticas, agradecemos o envio de um email para o chapter leader (email no topo da página) a confirmar a presença.

Reuniões Locais
As reuniões locais do OWASP são absolutamente gratuitas e abertas ao público

Conferências Locais
IBWAS10 - Ibero-American Conference on Web Application Security 2010

IBWAS09 - Iberic Conference on Web Application Security 2009

OWASP EU Summit 2008 Portugal

Para já estamos a ajudar na organização do OWASP EU Summit Portugal 2008, em especial na divulgação do evento em Portugal, e na procura de oportunidades de patrocínio para este mesmo evento.

http://www.owasp.org/images/c/cb/OWASP_EU_Summit_Portugal_2008.jpg

As preocupações a nível global com a Segurança de Informação não param de crescer. A informação é cada vez mais um activo importante das organizações e como tal torna-se necessário a sua gestão, preservação e protecção. Os ataques a que esta mesma informação está sujeita evoluem de dia para dia, e o que anteriormente oferecia segurança já não pode proteger.

As modernas ameaças à segurança da Informação conseguem efectuar um bypass dos mecanismos tradicionais de Segurança da Informação (como por exemplo as firewalls), e atacam directamente as aplicações e os dados dessas mesmas aplicações. As aplicações modernas (em particular as aplicações Web e os Web-services) passaram a ser uma parte integrante do perímetro de segurança das organizações e da protecção de um dos seus activos mais valiosos – a Informação. O Open Web Application Security Project (OWASP) é uma organização que trabalha no sentido de contribuir para a melhoria significativa da Segurança a nível aplicacional.

Vai decorrer de 4 a 7 de Novembro o OWASP Summit EU 2008. Será a primeira vez que a OWASP realiza uma das suas maiores reuniões mundiais em Portugal, reunindo especialistas de todo o Mundo na área da Segurança de Informação, em particular de Segurança em Aplicações Web-based. A OWASP é uma líder a nível mundial em termos de segurança aplicacional e concedeu recentemente bolsas/patrocínios no valor de 250,000 USD para projectos de investigação e desenvolvimento nesta área.

Ao longo destes quatro dias no Algarve, a OWASP Summit EU 2008 vai reunir líderes internacionais da OWASP, assim como importantes parceiros de indústria que irão apresentar e discutir as mais recentes ferramentas e documentos desenvolvidos pela OWASP. Para além disso, a OWASP Summit EU 2008 vai realizar mais de 40 apresentações de líderes de projectos patrocinados pela OWASP na área de pesquisa de segurança para aplicações Web, assim como organizar múltiplas sessões de trabalho especificamente concebidas para dinamizar a colaboração, atingir e traçar novos objectivos para projectos OWASP, representações locais e para toda a comunidade OWASP.



O OWASP Summit EU 2008 será composto por sessões técnicas e de negócio, sendo o sítio ideal para aprender um pouco mais sobre os múltiplos recursos que a comunidade OWASP disponibiliza. O Summit oferecerá igualmente formação que irá abranger diversos tópicos específicos da OWASP e da Segurança de Aplicações Web.

Projectos

Os projectos seleccionados para a apresentação no Summit incluem nova documentação e ferramentas inovadoras para ajudarem os programadores, os arquitectos e os especialistas de segurança a garantirem a segurança das suas aplicações:


 * Norma de Verificação da Segurança Aplicacional (ASVS);
 * Guia para a revisão de código, v1.1;
 * Guia de Segurança para o Ruby on Rails, v2;
 * Segurança do WebGoat usando o ModSecurity;
 * Guia de Testes, v3;
 * GUI do GTK+ para o projecto w3af;
 * Verificador de Regras de Controlo de Acesso;
 * AntiSamy .Net;
 * Projecto Livee 2008;
 * Extensões OpenPGP para HTTP;
 * Projecto Orizon;
 * Análise Estática de Python;
 * WebScarab-NG;
 * Entre muitos outros.

Sessões de Trabalho

Contando com a presença de diversos parceiros de indústria na área da segurança aplicacional, estas Sessões de Trabalho irão abranger um leque variado de tópicos, tais como:


 * Top 10 da OWASP de 2009;
 * Segurança do Browser;
 * Pacote de Segurança de Aplicações Web;
 * Projecto de API de Segurança Empresarial;
 * Boas práticas para líderes de comunidades OWASP:
 * Projectos de documentação OWASP;
 * Projectos de ferramentas OWASP;
 * Projectos de educação OWASP;
 * Planeamento estratégico da OWASP para 2009;
 * Certificação OWASP;
 * OWASP Winter of Code 2009;
 * Internacionalização dos conteúdos da OWASP;
 * E muitos mais.

Formação

Durante o Summit irão existir sessões de formação com a duração de 1 dia, 1 dia e meio e 2 dias, em diversas áreas específicas do OWASP assim como relacionadas com tópicos de Segurança de Aplicações Web:


 * Top 10 da OWASP – O que os programadores devem saber sobre Segurança de Aplicações Web;
 * Descobrir os tesouros secretos do WebScarab;
 * Segurança do WebGoat com o ModSecurity;
 * Programação Segura com Java;
 * Construção de Rich Internet Applications Seguras;
 * Construção de Web-Services seguros;
 * Liderança no desenvolvimento de Aplicações Seguras;
 * Segurança em ASP usando as ferramentas OWASP;
 * Avaliações em Aplicações Web;
 * Hacking do Projecto OWASP Orizon, v1.0;
 * Segurança em Ajax;
 * Prática em Testes de Penetração: Pensar como um atacante para impedir ataques;
 * Exploração de Software Linux;
 * Tornar o servidor Web e os Web-services mais seguros usando o SELinux.

Para mais informações sobre o programa da OWASP Summit EU 2008, assim como outras informações relacionadas com o evento, deve consultar a página oficial do mesmo em http://www.owasp.org/index.php/OWASP_EU_Summit_2008.

Sobre a OWASP

A OWASP (Open Web Application Security Project) é uma comunidade aberta dedicada a ajudar as organizações a desenvolverem, comprarem, e a manterem aplicações que podem ser confiáveis. Todas as ferramentas da OWASP, documentos, fóruns e delegações são livres e abertas para todas as pessoas interessadas em oferecer segurança aplicacional.

A OWASP defende que a abordagem à segurança aplicacional deve ser realizada como sendo um problema de pessoas, processos e tecnologias, porque as abordagens mais eficazes para segurança aplicacional incluem melhorias em todas estas áreas.

A OWASP é uma nova forma de organização. A sua liberdade de quaisquer tipos de pressões comerciais permite a divulgação de informação fiável, prática, e acessível sobre segurança aplicacional. A OWASP não é afiliada de nenhuma empresa tecnológica, embora suporte a utilização informada de tecnologias de segurança comerciais. À semelhança de muitos dos existentes projectos de open-source, o OWASP produz diversos tipos de materiais de uma forma cooperativa e aberta.

A Fundação OWASP é uma entidade sem fins lucrativos que assegura o sucesso dos projectos OWASP a longo prazo. O OWASP promove uma série de comunidades locais, sendo que Portugal possui igualmente uma comunidade local de interesse no OWASP. Para mais informações sobre o OWASP e os seus projectos consultar http://www.owasp.org. Para mais informação sobre a comunidade OWASP nacional consultar http://www.owasp.org/index.php/Portuguese.

Tradução do OWASP Top 10 para Português
Actualmente a OWASP PT está a participar na tradução do OWASP Top 10 para português - em colaboração com a nossa congénere brasileira. Esta tradução, como todos os projectos da OWASP é um esforço voluntário e livre, pelo que se pretender colaborar na tradução ou revisão dos documentos, apenas tem que nos enviar um email.

Podem visualizar a lista de documentos a traduzir e a rever no Google Docs a partir deste link.

Podem igualmente visualizar a lista de atribuições e de revisores no seguinte ficheiro.

A OWASP agradece a colaboração de todos.

Organização da IBWAS
A OWASP Portugal organiza em conjunto com a sua congénere espanhola, uma conferência anual, que se realiza alternativamente entre Portugal e Espanha, e que se designa por Ibero-American Web Applications Security (IBWAS).

Esta conferência pretende reunir profissionais, investigadores, educadores, governantes e decisores das mais variadas áreas, e que estejam particularmente preocupados com a segurança da sua informação e dos suas aplicações web.

De entre os diversos tópicos da IBWAS, destacam-se os seguintes:
 * Desenvolvimento seguro de aplicações
 * Segurança em arquitecturas orientadas a serviços
 * Segurança de frameworks de desenvolvimento
 * Modelação de ameaças em aplicações Web
 * Segurança na computação na nuvem (cloud computing)
 * Vulnerabilidades e análise de aplicações Web (revisões de código, testes de penetração, análise estática, etc.)
 * Métricas para segurança aplicacional
 * Contra-medidas para vulnerabilidades em aplicações Web
 * Técnicas de desenvolvimento de código seguro
 * Plataformas ou funcionalidades de segurança em linguagens que ajudam o desenvolvimento de aplicações Web seguras
 * Desenho de Bases de Dados seguras para aplicações Web
 * Controlo de acesso em aplicações Web
 * Segurança em serviços Web
 * Segurança de browsers
 * Privacidade em aplicações web
 * Normas, certificações e critérios de avaliação de segurança para aplicações Web
 * Educação em Segurança aplicacional
 * Segurança para a Web móvel
 * Ataques e exploração de vulnerabilidades
 * ... entre outros.

Recursos
Blog Oficial do OWASP Portugal: webappsec.netmust.eu

IBWAS'10: www.ibwas.com

OWASP AppSec Iberia 2009: www.owasp.org/index.php/OWASP_AppSec_Iberia_2009

Publicações

 * Riscos nas aplicações web: os 10+ segundo a OWASP, Miguel Almeida, Publicado no Sapo TeK, 2010
 * Mais do que a visão alcança - A segurança das aplicações e sistemas de informação baseados na www, Carlos Serrão, Publicado na POSI Mag, Nº 3, pag. 31 - 35, 2010
 * Segurança da informação: falta de formação aumenta perigo, Dinis Cruz, Miguel Almeida e Carlos Serrão, Publicado na Semana Informática.