AppSec Brasil 2010 (pt-br)



The English version is here

= OWASP AppSec Brasil 2010 =

A segunda edição da versão brasileira da série de conferências mais importante da OWASP ocorrerá em Campinas, SP. A conferência terá dois dias de treinamentos, seguidos de dois dias de conferência em trilha única.

Datas Importantes
A Conferência ocorrerá entre 16 e 19 de novembro de 2010. Os primeiros dois dias serão dedicados aos treinamentos. As plenárias ocorrerão em 18 e 19 de novembro de 2010.

Sobre a Conferência
Dando prosseguimento ao sucesso da primeira AppSec Brasil, que ocorreu em Brasília em 2009, o Capítulo brasileiro do OWASP irá promover a segunda edição em 2010, na cidade de Campinas, a cerca de 90 km de São Paulo

Campinas é a terceira maior cidade do estado de São Paulo (e a maior fora da área metropolitana da Capital) e é um importante polo econômico, abrigando universidades e centros de pesquisa de renome internacional. A cidade também concentra muitas indústrias de alta tecnologia, incluindo multi-nacionais dos ramos de eletrônicos, telecomunicações e quimicos.

Este ano, esperamos reunir um número expressivo de profissionais e pesquisadores brasileiros e latino-americanos para compartilharem informações sobre o estado-da-arte da segurança de aplicações.

Patrocínio
Estamos atualmente buscado patrocinadores para a edição 2010 da AppSec Brasil. Veja mais detalhes sobre as [[Media:OWASP_AppSec_Brasil_2010-Oportunidade_de_Patroc%C3%ADnio.pdf|oportunidades de patrocínio]].

Se estiver interessado em patrocinar o AppSec Brasil 2010, por favor entre em contato com a equipe organizadora da conferência pelo email organizacao2010@appsecbrasil.org.

Robert 'Rsnake' Hansen
SecTheory

Título: O Cookie humilde (The Hemble Cookie)

Resumo: A coisa mais simples no seu browser que tem causado confusão e preocupação é o cookie. Esta apresentação vai discutir o que é, como funcionam, os seus aspectos menos conhecidos e dezenas de ataques para roubá-los, configurá-los, quebrá-los ou abusar de confiança usando cookies.

Biografia: Robert Hansen, também conhecido como RSnake, é o fundador e CEO da empresa SecTheory. Trabalhou para empresas como Digital Island, Exodus Communications e Cable & Wireless ocupando diversos cargos desde Arquiteto de Segurança Sênior e eventualmente como gerente de produtos de diversos serviços da linha de serviços gerenciados de segurança. Também trabalhou no eBay como Gerente Global Sênior para Confiança e Segurança, focando em anti-phishing, anti-malware de DHTML e estratégias de anti-vírus. Posteriormente ele trabalhou como Diretor de Gerenciamento de Produtos para o site Realtor.com. Robert é membro do conselho consultivo para o Grupo Intrepidus, e anteriormente era membro do conselho consultivo técnico da ClickForensics e atualmente contribui para a estratégia de segurança de diversas companhias startup.

O Sr. Hansen escreveu o livro Detecting Malice, publica conteúdo para a O'Reilly e é co-autor do livro XSS Exploits da editora Syngress. Ele é membro do grupo do NIST.gov para Métricas de Garantia de Software e Avaliação de Ferramentas com foco em scanners de segurança de aplicações e membro do grupo de Critérios de Avaliação de Scanners para Segurança de Aplicações (WASC-WASSEC). Passou instruções ao Departamento de Defesa no Pentágono e é palestrante em conferências como SourceBoston, Secure360, GFIRST/US-CERT, CSI, Toorcon, APWG, ISSA, TRISC, conferências mundias da OWASP/WASC, SANS, Microsoft Bluehat, Blackhat, DefCon, SecTor, BSides, Networld+Interop e foi um keynote speaker na Conferência de CyberSegurança de Nova York, NITES e OWASP AppSec Asia. O Sr. Hansens é um membro da Ingragard, West Austin Rotary, WASC, IACSP, APWG, contribui para o guia OWASP 2.0 e está no Comitê de Conexões da OWASP.

Robert também mantém o site http://ha.ckers.org onde discute sobre segurança de aplicações web e provê muitas informações úteis que podem ser usadas contra ataques de aplicações web.

Jeremiah Grossman
WhiteHat Security

Título: A definir.

Bio: Jeremiah Grossman, fundador e CTO da WhiteHat Security, é um especialista em segurança web. É co-fundador do Web Application Security Consortium (WASC), foi escolhido pela InfoWorld um dos Top 25 CTOs em 2007 e é frequentemente citado em publicações técnicas ou de negócios. Publicou dezenas de artigos, foi o descobridor de várias técnicas avançadas de ataque e defesa e é co-autor do livro "XSS Attacks: Cross Site Scripting Exploits and Defense." Grossman é também um blogueiro influente que oferece idéias e encoraja um dálogo franco sobre pesquisas e tedências da segurança na web. Antes da WhiteHat, Grossman foi um "information security officer" no Yahoo!

Samy Kamkar
Título: How I Met Your Girlfriend: A descoberta e execução de classes inteiramente novas de ataques na Web, a fim de encontrar sua namorada.

Resumo: Esta apresentação inclui ataques divertidos e recém-descobertos, incluindo a previsão de sessão e números aleatórios em PHP (adivinhar cookies de sessão PHP com precisão), browser protocol confusion (transformando um browser em um servidor SMTP), penetração em firewall e NAT via Javascript (transformar o seu roteador contra você), sequestro remoto do Google Maps no iPhone (invasão do iPhone combinado com man-in-the-middle em HTTP), extração de informações de geolocalização extremamente precisa de um navegador da Web (sem usar IP geolocation), e muito mais.

Biografia: Samy Kamkar é mais conhecido pelo worm Samy, o primeiro worm XSS que infectou mais de um milhão de usuários no MySpace em menos de 24 horas. É co-fundador da Fonality, Inc., uma empresa de PBX IP, Samy anteriormente liderou o desenvolvimento do software de do servidores de nomes de domínio (top-level domains) e sistemas para a Global Domains International (.ws).

Nos últimos 10 anos, Samy tem-se centrado no desenvolvimento de algoritmos evolutivos e genéticos, desenvolvimento de software para voz-sobre-IP, segurança automatizada e pesquisa de vulnerabilidades de segurança de rede, engenharia reversa, e jogos em rede. Quando não está amarrado por trás da Matrix, Samy está envolvido em projetos de serviços da comunidade local.

Mano Paul
Título: Wild Wild Wild Security Planet

Resumo: Organismos mantem-se seguros em um mundo que é tão imprevisível quanto o nosso mundo. Esta apresentação vai traçar um paralelo entre o que podemos aprender com o mundo da arte, literatura, ciência e natureza, e aplicá-lo ao mundo da segurança de software. Por exemplo, se Shakespeare tivesse que escrever sobre a segurança de software, o que iria escrever? O que faz um motorista nu tem a ver com a língua solta que afunda navios? O que o pH tem a ver com as vulnerabilidades de software? O que a capacidade regenerativa do bicho-pau tem a ver com bugs de software? Ou pode o comportamento do avestruz de enfiar a cabeça na na areia refletir o de gerenciamento de riscos mínimo que observamos hoje, e muitos mais ...

Esta palestra será divertida, extremamente interativa e cobrirá vários conceitos de segurança, incluindo gestão de riscos, defesa em profundidade, programação segura, ameaças e vulnerabilidades, conformidade e muito mais. Venha descobrir as respostas às questões acima e veja o que é necessário para desenvolver software com uma mentalidade de segurança durante todo o seu ciclo de vida. Venha olhar a segurança de software de uma perpectiva diferente, que fará TODA a diferença para você e sua empresa.

Biografia: Manoranjan (Mano), Paul é o Consultor de Software Assurance para o (ISC)2. Sua experiência em Segurança da Informação e Software Assurance inclui projetar e desenvolver programas de segurança para complience-to-coding, segurança no SDLC, escrever código seguro, gestão de riscos, estratégia de segurança e treinamento e educação em conscientização de segurança. Ele fundou e serve como CEO e Presidente da Express Certifications. Ele também fundou SecuRisk Solutions, uma empresa especializada no desenvolvimento de produtos de segurança e consultoria.

Palestras
As palestras abaixo foram aceitas para apresentação no AppSec Brasil 2010. No descritivo de cada palestra consta o status atual da palestra, ou seja, se já houve confirmação da presença dos palestrantes no AppSec Brasil 2010.

Cassio Goldschmidt
Symantec



Responsabilidade pelo Prejuízo e Riscos de Falhas de Segurança de Software
Resumo: Quem é responsável pelos prejuízos e riscos de falhas de segurança? O advento de redes mundiais tais como a Internet tornou a segurança de software - ou a falta de - um problema de proporções internacionais. Não há modelos de risco matemáticos ou estatísticos disponíveis para avaliar sistemas em rede com falhas interdependentes. Sem essa ferramenta, tomadores de decisão estão destinados a super-investir em atividades que não geram o retorno sobre o investimento desejado ou sub-investir em mitigações, correndo o risco de terríveis consequências. Experiências sugerem que nenhum grupo é totalmente responsável pelos prejuízos e riscos de falhas de segurança em software, mas um modelo de responsabilidade parcial somente pode emergir uma vez que os deveres e motivações de todos os grupos sejam examinados e compreendidos.

Biografia: Cassio Goldschmidt é gerente sênior do time de segurança de produtos do escritório do CTO da Symantec Corporation. Nesse cargo, ele lidera os esforços na companhia para garantir o desenvolvimento seguro de produtos de software. Suas responsabilidades incluem gerenciar o processo interno de desenvolvimento seguro de software, treinamento, análise de riscos, testes de invasão e gerenciamento de vulnerabilidades. Sua experiência inclui mais de 14 anos em cargos técnicos e gerenciais na indústria de software. Durante os oito anos que está na Symantec, ele auxiliou a arquitetar, desenhar e desenvolver diversos produtos campeões de vendas, conduziu diversas aulas de segurança e coordenou diversos testes de invasão. Cassio também é conhecido por liderar o capítulo do OWASP de Los Angeles e é um palestrante frequente em conferências de segurança no mundo todo.

Cassio representa a Symantec no comitê técnico do SAFECode e o (ISC)2 no desenvolvimento da certificação CSSLP. É Bacharel em Ciências da Computação pela PUC do Rio Grande do Sul, Mestre em Engenharia de Software pela Santa Clara University e MBA pela University of Southern California.

Status: Confirmada

Amichai Shulman
Imperva



Business Logic Attacks – BATs and BLBs
Demais autores: Rob Rachwald

Resumo: Cyber ataques estão sendo realizados com mais frequência por profissionais e cada vez mais motivados por interesses financeiros. Pesquisadores descobriram a crescente popularidade de uma certa classe de ataques que miram em lógicas de negócio. Ataques de lógica de negócio são um conjunto de aplicações transacionais permitidas que são usadas para realizar operações maliciosas que não são parte de práticas normais de negócio. Por exemplo, realizar um brute force em cupons de desconto em uma aplicação de e-commerce para receber múltiplos descontos. Essa apresentação proverá uma rápida introdução aos ataques de lógica de negócio, suas características únicas e a motivação por trás do aumento desse tipo de ataque. A sessão irá sugerir um método de classificação para esses ataques do qual os participantes poderão desenhar um conjunto de habilidades necessárias para mitigação. Nós discutiremos as habilidades necessárias para detectar interações automatizadas na aplicação, diferentes tipos de repetição, comprometimento de fluxos e até credenciais comprometidas. Nós também iremos contemplar a utilização de técnicas de mitigação tais como Captcha, introdução de delayse mais.

Biografia: Amichai Shulman é co-fundador e CTO da Imperva, onde é líder do ‘’Application Defense Center – ADC’’, organização de pesquisa internacionalmente reconhecida da Imperva, focada em segurança e conformidade. O Sr. Shulman regularmente palestra em conferências do Mercado e contribui mensalmente com seminários online. A imprensa recorre a experiência do Sr. Shulman para comentar sobre notícias recentes, inclusive brechas de segurança, técnicas de mitigação e tecnologias relacionadas. Sob sua direção, foi creditado ao ADC a descoberta de diversas vulnerabilidades sérias em aplicações ‘’web’’ comerciais e produtos de base de dados, tais como Oracle, IBM e Microsoft. Antes da Imperva, o Sr. Shulman foi o fundador da Edvice Security Services Ltd., um grupo de consultoria que provia serviços de segurança para aplicações e bancos de dados para grandes empresas financeiras, incluindo testes de invasão ‘’web’’ e em bases de dados, estratégias de segurança, desenho e implementação. O Sr. Shulman serviu nas Força de Defesa Israelense, onde liderou um time que identificou novas técnicas de ataque defesa para computadores. Ele é Bacharel e Mestre em Ciências da Computação pelo Technion Israel Institute of Technology. Status: Confirmada

Gabriel Quadros
Conviso

Taint Analysis em Código JavaScript para Detecção de Vulnerabilidades em Aplicações Web
Resumo: As aplicações Web modernas fazem uso cada vez maior de código client-side, com código JavaScript sendo o mais presente na maioria delas. Várias vulnerabilidades são introduzidas com o uso descuidado dessa linguagem. As ferramentas de análise disponíveis publicamente geralmente se baseiam em pattern matching para encontrar possíveis vulnerabilidades, mas essa não é uma estratégia eficiente para analisar grande quantidade de código. Portanto, existe a necessidade do desenvolvimento de ferramentas capazes de realizar análises mais avançacas, como Taint Analysis e Execução Simbólica. Este artigo discute várias abordagens para a análise dinâmica de código JavaScript e apresenta a ferramenta JsInstrumentator, que está sendo desenvolvida pelo Conviso Security Labs.

Biografia: Gabriel Quadros começou a estudar segurança da informação em 2003, com interesse principal em engenharia reversa, pesquisa de vulnerabilidades e desenvolvimento de exploits.

Atualmente cursa o último ano do Bacharelado em Ciência da Computação na Universidade Estadual do Sudoeste da Bahia - UESB.

Em abril de 2010, começou suas atividades como consultor de segurança na Conviso IT Security.

Status: Confirmada

Tony Rodrigues
IT Provider

Tony’s Top 10 Application Artifacts: A Computer Forensics Approach to OWASP Top 10
Resumo: Computação Forense para Aplicações tem muitas peculiaridades em relação a outras disciplinas forenses. Além de requerer técnicas diferenciadas, os vestígios relacionados são também bastante específicos. Essa apresentação trata dos dez principais vestígios relacionados com perícias e investigações de aplicações e seus ambientes, abordando-os de maneira paralela ao OWASP Top 10.

Biografia: Tony Rodrigues é um profissional certificado CISSP, CFCP e Security+ com mais de 20 anos de experiência em TI e 8 anos em Gestão de Segurança de Informações. Já liderou várias investigações,	perícias e pesquisas sobre Computação Forense. Tony é consultor em Segurança de Informações e palestrou em importantes conferencias internacionais (CNASI, H2HC,YSTS). É autor/criador do blog forcomp.blogspot.com, sobre Resposta a Incidentes e Forense Computacional e também colabora com artigos no blog de Computer Forensics da SANS.

Status: Confirmada

Henrich Christopher Pöhls
University of Passau - ISL

O Estado das assinaturas digitais de XML - Como evitar as armadilhas técnicas e alavancar o poder de novos esquemas de assinatura
Resumo: Assinaturas digitais em XML são uma ferramenta complexa: bem aplicadas, elas ajudam a garantir a conformidade legal, mas existem muitas armadilhas. Esta apresentação vai ensinar os passos básicos que usuários e desenvolvedores devem seguir para evitar as armadilhas, dentre os quais:
 * Sólidos conhecimentos dos passos de processamento e verificação das assinaturas de XML
 * Uso de referências simples e coerentes quando da criação de assinaturas em XML
 * Saber o que testar o conteúdo a ser assinado antes de agir (teste de bitflip)

A apresentação vai também mostrar uma visão geral de novas aplicações para esquemas de assinatura digital recentes e especializados, como sanitizable signatures (ramo de pesquisas desde aprox. 2000), que permitem lidar com a necessidade de modificar o conteúdo já assinado. E também vai destacar as alteraçãoes relevantes para a segurança que estão sendo planejadas para a versão 2.0 do XML Signature Syntax and Processing.

Biografia: Henrich C. Pöhls já apresentou seus trabalhos com assinaturas digitais em conferências acadêmicas (ICICS, GI, palestras convidadas...) ou a audiências técnicas (DFN CERT, OWASP). É instrutor de uma cadeira universitária sobre segurança de TI na prática para estudantes de mestrado em ciência da computação ou segurança de TI há 7 anos. Este curso foi inicialmente estabelecido na Universidade de Hamburgo am 2004 e depois na Universidade de Passau em 2008. O curso, entitulado "Security Infrastrusctures", é centrado em infraestruturas de segurança e foca em acesso seguro e autenticado pelo uso de assinaturas digitais.

Status: Confirmada

Rodrigo Montoro
Trustwave Spiderlabs

Web Application First Aid - Virtual Patching with ModSecurity
Resumo: Nessa apresentação demonstraremos o processo para criação de um Virtual Patch para sua aplicação web desde o processo para encontrar a falha até a correção provisória. Entre os assuntos abordaremos :


 * Testes de Aplicação Web
 * Como funciona um BlackBox ?
 * Como funciona um WhiteBox ?
 * Funcionamento do ModSecurity
 * Encontrei uma falha e agora ?
 * Entendendo a falha encontrada
 * Criando uma regra para Virtual Patching
 * Testando a(s) regra(s)

Na apresentação daremos enfase que o Web Application Firewall (WAF) não substitui um code review ou teste da aplicação e sim deve e pode ser usada como ótimo complemento de segurança para seu ambiente.

Biografia: Rodrigo “Sp0oKeR” Montoro possui grande experiência em ambientes opensource e mercado de segurança especialmente na parte de IPS/IDS, malwares e protocolos. Atualmente trabalha no time de pesquisas do SpiderLabs (Trustwave) onde faz parte do core team de assinaturas do modsecurity além de analise de malwares, assinaturas de IDS e pesquisas na area de arquivos maliciosos especialmente pdfʼs.

Status: Confirmada

Brian Contos
McAfee

Explorando Três Vetores de Ataque Modernos: Ameaças Internas, Industrializadas e APIs
Resumo: Os ataques estão vindo de todos os ângulos. Em alguns casos, eles são muito rudimentares, em outros são altamente complexos. As organizações devem ser capazes de se proteger de qualquer maneira, e fazê-lo de uma forma que esteja em paridade com as operações de negócios, mantenha a agilidade dos funcionários e parceiros, e seja viável sem a complexidade da solução ser pior do que o próprio ataque.

Incapacidade de resolver estes três tipos diferentes de ataque pode resultar em tudo, da diminuição da fidelidade à marca, às sanções regulamentares, e as receitas perdidas, roubos de propriedade intelectual, desvantagem competitiva econômica e militar. Baseado na pesquisa da McAfee Labs e interações com os clientes em todo o mundo nos setores público e privado, há muita informação que pode ser compartilhada sobre esses atacantes e suas estratégias.

Os participantes vão deixar a apresentação mais bem informados sobre as ameaças internas, hacking industrializados e APTS. Eles terão um entendimento dos motivos dos invasores e compreenderão seus vetores de ataque. O público também será exposto a várias contra-medidas independentes de produtos ou fornecedores que poderão alavancar dentro de suas próprias organizações.

Biografia: Brian Contos tem mais de 15 anos de experiência em gestão e engenharia de segurança. Ele já trabalhou nas Américas do sul e do Norte, Europa, Oriente Médio e Ásia. Na McAfee ele aconselha organizações governamentais e do G2000 em estratégias de segurança. Ele escreveu dois livros, incluindo Enemy at the Water Cooler - Real life Stories of Insider Threats e Physical and Logical Security Convergence, escrito em conjunto com o ex-diretor da NSA William Crowell. Ele já fez palestras em eventos da indústria como RSA, Black Hat, Interop, OWASP, CSI, ISACA, ISSA, InfraGard e eCrime. Ele é frequentemente citado pela imprensa de negócios e já escreveu artigos para Forbes, NY Times, London Times, Computerworld, e muitos outros. Ele foi o Chief Security Strategist da Imperva, o Chief Security Officer da ArcSight, e assumiu posições de gerencia e engenharia nas empresas Riptech, Bell Labs, Tandem Computers, e DISA.

Status: Confirmada

Christophe De La Fuente
Trustwave

Testes e Fuzzing de FLEX: Mais diversão com RIA
Demais autores: Matt Tesauro

Resumo: FLEX é uma escolha popular da o adminrável mundo novo das aplicações de web 2.0. Enquanto o jogo parece ter mudado, aplicações ricas para internet (rich Internet applications ou RIA) ainda permitem que as mesmas vulnerabilidades e erros de projeto existem. Esta apresentação vai cobrir as metodologias para testes de aplicações em Adobe FLEX, incluíndo a nova versão 4 e irá mostrar problemas como cross-site flashing, chamadas remotas e fuzzing. Também serão mostradas ferramentas para testar aplicações FLEX ou Flash, incluindo sua inclusão no OWASP WTE (Web Testing Environment). Finalmente, alguns problemas de projeto que podem atrapalhar o desenvolvimento em FLEX serão discutidos em um pequeno estudo de caso.

Biografia: Christophe é um consultor de segurança da área de segurança de aplicações no Trustwave Spiderlabs. O Spiderlabs é o time avançado de segurança responsável por testes de invação, segurança de aplicações e resposta a incidentes para os clientes da Trustwave.

Christophe tem vasta experiência em testes de penetração em aplicações web e infra-estrutura de rede. Ele tem experiência com testes em uma ampla gama de aplicações, desde as tradicionais aplicações cliente / servidor até aplicações web e web services. Além de sua experiência em segurança da informação, Christophe tem experiência no desenvolvimento de software e aplicações web. Christophe também tem interesse em engenharia reversa de código para a análise de malware e pesquisa de vulnerabilidades. Ele ensinou curso universitário em nível de pós-graduação na área de teste de segurança de aplicações web.

Status: Confirmada

Codificação Segura em Aplicações J2EE


''' Atenção: Este treinamento será ministrado em inglês SEM tradução simultânea. '''

Data e horário: 16 e 17 de Novembro (9 às 18 horas) Instrutor: Jason Li

Resumo A capacitação de desenvolvedores nas práticas de programação segura oferece o mais alto retorno de investimento em meio a todo o orçamento de segurança, através da eliminação de vulnerabilidades diretamente no código. O curso Aspectos de Programação Segura JAVA EE faz crescer a noção de questões relativas segurança de aplicações em meio aos desenvolvedores e fornece exemplos de “o que fazer” e “o que não fazer”. O curso é ministrado por um desenvolvedor experiente e apresentado de maneira bastante interativa. Este curso inclui exercícios “mão-na-massa” onde os alunos são chamados a executar análises e testes de segurança em uma aplicação Web Java EE real. Este ambiente especialmente planejado inclui falhas intencionais as quais os alunos deverão encontrar, diagnosticar e corrigir. O curso também faz uso de exercícios de programação Java EE, de forma a fornecer aos alunos uma experiência realista e “mão-na-massa” de desenvolvimento seguro. Os alunos obtêm essa experiência “mão-na-massa” usando ferramentas de teste de segurança de aplicações Web, disponíveis gratuitamente, de forma a buscar e diagnosticar falhas e aprender a evitá-las em seu próprio código.

Público Alvo O publico esperado para este curso é composto por desenvolvedores de aplicações JAVA EE e por testadores que possuam conhecimentos de programação.

Objetivos de Aprendizado

O objetivo maior do curso é assegurar que os desenvolvedores são capazes de projetar, construir e testar aplicações seguras Java EE e compreender a importância da segurança no processo.

Tópicos


 * Aprendendo os Fundamentos Objetivos do HTTP
 * Compreender e ser capaz de empregar as características de segurança

envolvidas no uso do HTTP (e.g., cabeçalhos, cookies, SSL).


 * Princípios e Padrões de Projeto
 * Compreender e ser capaz de aplicar os princípios de projeto de

segurança de aplicação.


 * Ameaças
 * Ser capaz de identificar e explicar as ameaças comuns à segurança de

aplicações Web (cross-site scripting, SQL injection, ataques de “denial of service”, ataques de "Man-in-the-middle", etc.) e implementar técnicas para mitigar o risco.


 * Autenticação e Gerência de Sessão
 * Ser capaz de tratar credenciais de forma segura, ao fornecer um leque

completo de suporte a funções de autenticação, incluindo login, troca, esquecimento e recuperação de senha, logout, re-autenticação e expiração de sessão.


 * Controle de Acesso
 * Ser capaz de implementar regras de controle de acesso à interface de

usuário, lógica de negócio e camada de dados.


 * Validação de Campos
 * Ser capaz de reconhecer problemas potenciais na validação de campos,

particularmente problemas de injection e Cross-site Scripting (XSS), e implementar os mecanismos apropriados de validação de campos informados pelo usuário ou obtidos a partir de outras fontes de entrada.


 * Injeção de Comandos
 * Compreender os perigos da injeção de comandos e as técnicas para

evitar a introdução deste tipo de vulnerabilidade.


 * Tratamento de Erros
 * Ser capaz de implementar um tratamento consistente de erros (exceções)

e um esquema de log para a aplicação Web como um todo.


 * Criptografia
 * Aprender em quais situações de deve aplicar técnicas de criptografia e

ser capaz de escolher algoritmos, usar criptografia/decriptografia e funções de hash de forma segura.

O Instrutor Jason é um instrutor notável, tendo comandado cinco diferentes cursos no período de um ano para nossos principais e diversos clientes de longa data. A base de clientes inclui uma grande instituição financeira, diversas empresas líderes do ramo de encomendas e logística e um líder na integração de sistemas governamentais.

Jason também já ministrou os cursos Testando a Segurança de Aplicações Web Anvançado e Construindo Aplicações Web Seguras na conferência OWASP 2008, na Bélgica e Índia.

Elogios comuns encontrados nas avaliações dos cursos de Jason incluem “Este é provavelmente um dos cursos mais importantes aos quais já fui exposto aqui”e “Um dos melhores instrutores que já tive. Um conhecimento efetivo do assunto. Manteve a turma interessada através do compartilhamento de exemplos pessoais reais os quais descreveram bons cenários”'''. '''

Utilizando a API de segurança OWASP ESAPI (Enterprise Security API) para prover segurança em aplicações Web
''' Treinamento em português. '''

Data e horário: 16 de Novembro (9 às 18 horas) Instrutor: Tarcizio Vieira Neto

Resumo

A evolução da tecnologia no desenvolvimento de aplicações WEB tem contribuído com o aumento significativo do uso dessa tecnologia para atender os mais diversificados propósitos. Porém, essa tecnologia está sujeita a vulnerabilidades de segurança críticas, principalmente quando pesquisas recentes apontam que a maioria das vulnerabilidades estão presentes na própria aplicação. A biblioteca ESAPI (Enterprise Security API), da OWASP, surge neste cenário como uma biblioteca de segurança open source disponível para diversas linguagens, como Java EE, PHP, .NET, ASP Clássico, Python, Ruby, entre outras. O minicurso abordada as vulnerabilidades causadas por erros comuns no desenvolvimento de aplicações e os mecanismos de controle de segurança providos pela biblioteca ESAPI com o foco na tecnologia Java. Os princípios gerais aprendidos no curso podem ser aplicados no contexto das demais linguagens de programação.

Público Alvo

O perfil desejado de audiência são pessoas ligadas à área de desenvolvimento e segurança de aplicações  Web,   tendo   como   pré-requisito   conhecimentos   básicos   em   tecnologias   Web, protocolos de comunicação HTTP e HTTPs, princípios básicos de segurança: criptografia, hash e assinatura digital, programação Java para sistemas Web.

Objetivos de Aprendizado


 * Conhecer as principais vulnerabilidades de segurança comumente encontradas em aplicações Web.
 * Apresentar a arquitetura da biblioteca ESAPI e o funcionamento de seus módulos com exemplos em código Java associados.
 * Apresentar o componente Web Application Firewall da ESAPI.

Tópicos


 * 1) Introdução
 * 2) Mitos relacionados à segurança em Aplicações Web
 * 3) Projeto OWASP
 * 4) OWASP Top 10
 * 5) Biblioteca OWASP ESAPI
 * 6) Módulo de Validação e Codificação
 * 7) Módulo de Autenticação
 * 8) Módulo de Controle de Acesso
 * 9) Módulo de utilitários HTTP
 * 10) Módulo de tratamento de referência de acesso
 * 11) Módulo de Criptografia
 * 12) Módulo de Log
 * 13) Módulo de Detecção de Intrusão
 * 14) Integrando o módulo AppSensor com a ESAPI
 * 15) Utilizando Filtros
 * 16) Configurando a ESAPI
 * 17) Módulo Web Application Firewall da ESAPI
 * 18) Vantagens do Uso da Biblioteca ESAPI
 * 19) Conclusões

O Instrutor

Tarcizio Vieira Neto é graduado em Ciência da Computação pela Universidade Federal de Goiás (UFG), em Goiânia. Começou a carreira de desenvolvedor como estagiário em  um projeto de iniciação tecnológica financiado pelo CNPq na empresa Estratégia, em Goiânia. Após concluir a graduação trabalhou por seis meses na empresa Fibonacci Soluções Ageis, na mesma cidade, no cargo de analista de desenvolvimento. Em seguida trabalhou por dois anos e oito meses na Força Aérea Brasileira como oficial analista de sistemas do quadro complementar no Centro de Computação da Aeronáutica de Brasília, onde adquiriu experiência com a tecnologias de certificação digital e colaborou no desenvolvimento de um sistema corporativo de gestão eletrônica de documentos.

Atualmente trabalha no SERPRO desde novembro de 2009 como Analista de Desenvolvimento, na Coordenação Estratégica de Tecnologia – CETEC, desenvolvendo trabalhos sobre o tema segurança no desenvolvimento de software, desde novembro de 2009, onde dedica-se prioritariamente na elaboração de guias que padronizam técnicas e ferramentas que dão suporte à segurança no desenvolvimento de aplicações Web. Está cursando o curso de especialização em segurança da informação pela Universidade de Brasília (UnB) e possui ao todo mais de 5 anos de experiência com programação em Java.

A arte e a ciência da modelagem de ameças de applicações web
''' Atenção: Este treinamento será ministrado em inglês SEM tradução simultânea. '''

Data e horário: 17 de Novembro (9 às 18 horas) Instrutor: Mano Paul

Resumo

Para manter a sua casa segura, você primeiro precisa saber como o ladrão poderia entrar e sair e onde você deve armazenar o seus valores. O mesmo é verdade para as suas aplicações web. A menos que você saiba quais as vulnerabilidades e ameaças para seus aplicativos web, e quais medidas de segurança que você deve tomar para protegê-los, invasores ou o inimigo dentro (insider) poderiam tirar proveito das vulnerabilidades.

Modelagem de Ameaças é uma técnica que você pode usar para identificar ATVS (ataques, ameaças, vulnerabilidades e garantias) que poderiam afetar suas aplicações web. Modelagem de ameaças ajuda a projetar sua aplicação de forma segura a partir de uma perspectiva de confidencialidade, integridade, disponibilidade, autenticação, autorização e auditoria. É uma atividade essencial a ser realizada durante a fase de concepção do seu SDLC e ajuda a reduzir e minimizar o risco global.

Público Alvo

O público alvo é composto por pessoal técnico e gerencial de organizações de desenvolvimento de sistemas, sem requisitos de conhecimento de linguagens ou metodologias de propogamação especificos.

Objetivos de Aprendizado


 * 1) Entender modelagem de maeaças: quando fazê-la e quando não fazê-la
 * 2) Traduzir ameaças em riscos para a organização
 * 3) Divirta-se aprendendo conceitos complexos com exercícios e jogos interativos

Tópicos


 * 1) Introdução
 * 2) Por que fazer modelagem de ameaças?
 * 3) Modelagem de ameaças é adequado para você?
 * 4) Desafios
 * 5) Precursores
 * 6) Classificação de dados e modelagem de ameaças
 * 7) Mecanismos de segurança de aplicações web
 * 8) Benefícios da modelagem de ameaças
 * 9) Glossário de termos
 * 10) Agentes de ameaça
 * 11) OWASP Top 10 ataques comuns a aplicações
 * 12) O processo de modelagem de ameaças
 * 13) Árvores de ataques (attack trees)
 * 14) Frameworks de ameaças e riscos e.g., STRIDE and DREAD
 * 15) Truduzir de ameaças para riscos
 * 16) Modelagem de ameaças (exercícios hans-on)

O Instrutor

Manoranjan (Mano), Paul é o Consultor de Software Assurance para o (ISC)2. Sua experiência em Segurança da Informação e Software Assurance inclui projetar e desenvolver programas de segurança para complience-to-coding, segurança no SDLC, escrever código seguro, gestão de riscos, estratégia de segurança e treinamento e educação em conscientização de segurança. Ele fundou e serve como CEO e Presidente da Express Certifications. Ele também fundou SecuRisk Solutions, uma empresa especializada no desenvolvimento de produtos de segurança e consultoria.

Segurança em Arquitetura Orientada a Serviço
''' Treinamento em português. '''

Data e horário: 17 de Novembro (9 às 18 horas) Instrutores: Douglas Rodrigues, Julio Cesar Estrella e Nuno Manuel dos Santos Antunes

Resumo

Web services são a pedra angular de Arquiteturas Orientadas a Serviços (SOA). Como componentes críticos de negócios, Web Services devem apresentar alta segurança. No entanto, a implantação de Web Services seguros é uma tarefa complexa. De fato, diversos estudos mostram que um grande número de Web Services são implantados com falhas de segurança que vão desde vulnerabilidades de código (por exemplo, vulnerabilidades que permitem a injeção de código, incluindo SQL Injection e XPath Injection) até a utilização incorreta das normas e protocolos de segurança. O objetivo desse minicurso é o de apresentar de forma teórica e prática ferramentas que permitem a detecção de vulnerabilidades e mecanismos e protocolos de segurança contra ataques.

Público Alvo

O público alvo é composto por pessoal técnico e operacional de organizações de desenvolvimento de sistemas, com requisitos de conhecimento de linguagens ou metodologias de propogamação especificos em nível intermediário.

Objetivos de Aprendizado

O minicurso proposto contribui para agregar novas tendências tecnológicas. O tema é bastante interessante no tocante aos grandes desafios da pesquisa em computação, uma vez que se insere de forma natural dentro do desenvolvimento tecnológico de qualidade, englobando por sua vez, sistemas disponíveis, corretos, seguros, escaláveis, persistentes e ubíquos, além de notoriamente, observando-se as conferências da área, que SOA, Web Services e segurança constituem tema de crescente investigação na área de computação, pois é atual e de interesse da comunidade acadêmica, bem como de profissionais que atuam amplamente no mercado de trabalho. O interesse por SOA tem crescido nos últimos anos por se tratar de uma abordagem que ajuda os sistemas a permanecerem escaláveis e flexíveis enquanto crescem, e que também pode auxiliar a resolver a lacuna negócio/TI. Os estudantes e profissionais da área terão a oportunidade de compreender os princípios básicos de detecção de vulnerabilidade em nível de código e também a detecção de ataques por meio de protocolos e mecanismos. A idéia é que os participantes possam utilizar o breve conhecimento adquirido neste minicurso para o desenvolvimento de aplicações distribuídas usando Web Services seguros e obterem conhecimento necessário para diagnosticar e prevenir ataques a esse tipo de aplicação.

Tópicos


 * 1) PADRÕES E PROTOCOLOS DE SEGURANÇA PAR WEB SERVICES
 * 2) ATAQUES EM WEB SERVICES
 * 3) Ataques de Negação de Serviço (Denial of Service)
 * 4) Ataques de Força Bruta (Brute force)
 * 5) Ataques Spoofing
 * 6) Ataques de Inundação (Flooding)
 * 7) Ataques por Injeção
 * 8) AVALIANDO SEGURANÇA EM WEB SERVICES
 * 9) Estudo de campo sobre segurança em Web Services
 * 10) Análise “White-box”
 * 11) Teste “Black-box”
 * 12) Teste “Gray-box”
 * 13) Estudo de campo sobre a eficácia de ferramentas de avaliação de segurança

O Instrutor

Júlio Cesar Estrella - Cursou Mestrado em Ciência da Computação e Matemática Computacional, na área de Sistemas Distribuídos (Instituto de Ciências Matemáticas e de Computação ICMC / Universidade de São Paulo – USP). Durante o Mestrado, trabalho com simulação de redes de filas em um projeto relacionado ao desenvolvimento de técnicas de negociação em modelos de servidores web com diferenciação de serviços. Doutor em Ciência da Computação e Matemática Computacional (Instituto de Ciências Matemáticas e de Computação ICMC / Universidade de São Paulo – USP). O tema do projeto de doutorado versou sobre arquiteturas orientadas a serviços com suporte à QoS, bem como caracterização de cargas de trabalho para Web Services e Composição de Serviços também com suporte à Qualidade de Serviço. Atualmente é professor da Universidade Tecnológica Federal do Paraná (UTFPR - Campo Mourão)

Douglas Rodrigues - Mestrando em Ciências de Computação e Matemática Computacional pelo Instituto de Ciências Matemáticas e de Computação da Universidade de São Paulo - ICMC-USP/São Carlos. Bacharel em Ciência da Computação pelo Centro Universitário Eurípides de Marília - UNIVEM - Marília/SP. Atua principalmente nos seguintes temas: SOA, Web Services, avaliação de desempenho, criptografia e segurança.

Nuno Manuel dos Santos Antunes - frequentou, entre 2003 e 2007, a Licenciatura em Engenharia Informática no Departamento de Engenharia Informática da Universidade de Coimbra. Desde 2008 que exerce investigação científica no grupo de Software and Systems Engineering (SSE) do Centro de Informática e Sistemas da Universidade de Coimbra (CISUC), em tópicos relacionados com metodologias e ferramentas para o desenvolvimento de Web Services sem vulnerabilidades. Concluiu em 2009 o Mestrado em Engenharia Informática no Departamento de Engenharia Informática da Universidade de Coimbra, com a classificação final de Muito Bom. Em 2009 iniciou o seu Doutoramento em Ciências e Tecnologias da Informação. Publicou 5 artigos científicos em conferências com processo de revisão pelos pares rigoroso, incluindo artigos nas conferências mais prestigiadas das áreas de confiabilidade e serviços.

Revisões de Segurança de Sistemas ASP.NET nos modos "black box" e "white-box" usando a plataforma OWASP O2
''' Este treinamento será ministrado em português usando materiais em inglês. '''

Data e horário: 16 de Novembro (9 às 18 horas) Instrutor: Dinis Cruz

Resumo

Este é um treinamento hands-on sobre como usar a plataforma OWASP O2 para fazer revisões de caixa-preta (black-box) e caixa-branca (white-box) em aplicações web ASP.NET

O curso é destinado a consultores de segurança / colaboradores que são responsáveis por executar testes de penetração ou revisões de segurança de código. O curso vai mostrar exemplos práticos de como usar o OWASP O2 para encontrar, explorar e documentar vulnerabilidades de segurança.

Para os laboratórios do curso, uma série de testes e aplicações/frameworks do mundo real serão utilizados. A fim de dar aos alunos um ambiente de teste benigno que é fácil de reproduzir, a aplicação bancária (vulnerável-por-projeto) HacmeBank ASP.NET será usada durante todo o curso.

Tópicos


 * O que é a plataforma OWASP O2 e como utilizá-la:
 * Usando os testes de unidade do O2 para explorar e navegar na web
 * Usando os testes de unidade do O2 para explorar a web
 * Entendendo e usando as ferramentas de automação web do O2 para encontrar vulnerabilidades no HacmeBank (caix-preta)
 * Entendendo e usando o scanner AST .NET do O2 para encontrar vulnerabilidades no HacmeBank (caixa-branca)
 * Conectando os traces do código fonte com os exploits para criar uma visão unificada das vulnerabilidades
 * Criando 'testes de unidade direcionados a vulnerabilidades' para entregar aos desenvolvedores, testadores ou gerentes
 * Customizando e escrevendo novas APIs (para frameworks novos ou modificados)
 * Usando o O2 para consumir resultados de ferramenmtas de código aberto ou comerciais
 * Estudo de caso: Microsoft ASP.NET MVC
 * Estudo de caso: Microsoft Sharepoint

O Instrutor

Este curso será ministrado por Dinis Cruz, que é o líder do projeto OWASP O2 e já criou e entregou muitos cursos de segurança em .NET. Dinis é também um membro do Board do OWASP, além de ser reconhecido mundo afora como um especialista na área de segurança de software, principalmente de aplicações .NET.

Local dos treinamentos
Veja a aba Local.

Local
A conferência será em Campinas, SP, na Fundação CPQD.

Veja a localização no Google Maps

Como chegar

TBD

Inscrições online
O formulário de inscrição está disponível em https://creator.zoho.com/lucas.ferreira/appsec/.

Valores
Apenas a conferência (dias 18 e 19/11):


 * Antes de 16 de setembro: R$ 400,00
 * Antes de 16 de outubro: R$ 500,00
 * Antes de 12 de novembro: R$ 550,00
 * No local: R$ 600,00

As inscrições no local estarão sujeitas à disponibilidade de lugares.

Treinamentos


 * Um dia: R$ 450,00
 * Dois dias: R$ 900,00

Descontos


 * Membro do OWASP: R$ 100,00 (Nota: Este desconto é maior do que a taxa anual de USD 50.00. Confira aqui
 * Estudantes: R$ 100.00 (Nota: Será necessário apresentar comprovante de matrícula).
 * Descontos especiais para grupos: entre em contato conosco pelo email organizacao2010@appsecbrasil.org

Comitês
OWASP Global Conferences Committee Chair: Mark Bristow

Líder do Capítulo Brasileiro: Wagner Elias

Comissão organizadora do AppSec Brasil 2010 (organizacao2010 at appsecbrasil.org):


 * Conference General Chair: Lucas C. Ferreira
 * Tutorials Chair: Eduardo Camargo Neves
 * Tracks Chair: Luiz Otávio Duarte
 * Local Chair: Alexandre Melo Braga

Equipe

 * Alexandre Melo Braga
 * Eduardo Camargo Neves
 * Lucas C. Ferreira
 * Luiz Otávio Duarte
 * Wagner Elias
 * Eduardo Alves Nonato da Silva
 * Leonardo Buonsanti
 * Dinis Cruz
 * Paulo Coimbra

Comitê de Programa

 * Alexandre Braga
 * Carlos Serrao
 * Eduardo alves
 * Fernando Cima
 * Leonardo Buonsanti
 * Lucas Ferreira
 * Luiz Duarte
 * Nelson Uto
 * Rodrigo Rubira
 * Wagner Elias

Hospedagem
TBD

Twitter
124443335

Links
Blog: http://blog.appsecbrasil.org

Twitter: http://twitter.com/owaspappsecbr

Modelo de apresentações: [[Media:OWASP_Presentation_Template_BrazilAppSec2010.ppt]]

Notícias
Portal G1