AppSecLatam2011

CFT
Read the Call for Trainings in: https://www.owasp.org/index.php/AppSecLatam2011/CFT

We are doing a research about subjects of the trainings. You can help us, answering the questions in the follow address:

http://www.surveymonkey.com/s/3RCZ9RR

CFP
Read the Call for Presentations in: https://www.owasp.org/index.php/AppSecLatam2011/CFP

Program Committee

 * Leandro Gomes
 * Leonardo Buonsanti
 * Leonardo Lemes
 * Luiz Eduardo
 * Luiz Otávio Duarte

Schedule
Training 1 - ModSecurity Training

Date: October 5th 2011 - 9AM to 5:30PM

Language: Portuguese

Instructor: Breno Silva

Abstract: This is a Hands-On traning about ModSecurity (WAF). People in this class will learn the main topics of ModSecurity, including installation, modes of deployment, configuration, rule customization and logging.

1. O que é ModSecurity? *    Como instalar *    Arquiteturas *    Exercicio 1

2.     Configurando ModSecurity *    Principais diretivas de configuração *    Core Rule Set (CRS) *    Exercicio 1 *    Exercicio 2

3.     Customizando regras *    Sintaxe *    Fases *    Principais variáveis *    Principais operadores *    Principais ações *    Funções de transformação *    Exercicio 1 *    Exercicio 2 *    Exercicio 3 *    Exercicio 4

4.     Logging *    Entendendo as Log parts *    Exercicio 1

About the instructor: Breno is a computer scientist with over 8 years experience in Information Technology, experienced with a wide range of software development techniques and languages, security systems and network     technologies. Breno brings a deep mathematical education, supporting research and algorithm design for network anomaly detection mechanisms in high-speed networks. Breno is currently a security      researcher for TrustWave Spiderlabs team, also the maintainer of ModSecurity, developement team member of Suricata IDS/IPS. He worked as a computer incidente response team member for the             Telecom Industry in Latin America. Breno resides in Brasília, Brazil.

-- Training 2 - Introduction to Web Application Security

Date: October 5th 2011 - 9AM to 5:30PM

Language: Portuguese

Instructor: Wagner Elias

Abstract: This training will help you will gain skills on how to assess applications from a hacker's point of view, understand application security vulnerabilities and learn how to close these security holes in your Java or .Net applications so they are never exploited by a hacker. This intensive one day course focuses on the most common web application security problems, including aspects of both the OWASP Top Ten (2010) and the MITRE Top 25. Hands on The students will participate in a number of hands-on security testing exercises where they attack a live web application (i.e., WebGoat) that has been seeded with common web application vulnerabilities and then use proxy tools (i.e., Webscarab) to complete the exercises.

About the instructor: Wagner Elias works with Information Security since 2004, worked as a consultant, team leader and manager of consulting. Has extensive experience in conducting projects with in Application Security and deployed solutions in companies of several segments. It has the certifications CBCP, SANS GIAC GHTQ, ITIL and CobiT Foundations, beyond certification of products SIEM and WAF. He is the founder of the Brazilian chapter of OWASP and currently leads the Sao Paulo chapter. He served as director of Education and Content management in 2006-2008 and Event management 2008-2010 of the Brazilian chapter of ISSA. He is co-founder and CTO of Conviso Application Security, where serves as Manager of R & D, responsible for managing research and development project consulting.

- Training 3 - Introdução à criptografia ilustrada em Java para programadores web

Date: October 5th 2011 - 9AM to 5:30PM

Language: Portuguese

Instructor: Alexandre Melo Braga

Abstract: A criptografia é a única tecnologia capaz de proteger dados em trânsito. O mimicurso terá o seguinte conteúdo geral: criptografia simétrica, criptografia assimétrica, modos de operação de cifras de bloco, funções de hash, funções MAC, geradores números pseudo-aleatórios e protocolos de acordo de chaves e SSL. Uma vez que se trata de um treinamento para programadores, todo o conteúdo será exemplificado em Java e será dada ênfase à identificação de maus usos de criptografia. O minicurso tem o aspecto prático de que todos os programas serão manipulados no treinamento, não apenas e PPT.

About the instructor: Professor de graduação em tecnologia e segurança por 10 anos Professor de pós-graduação em desenvolvimento seguro de software e criptografia há 5 anos. Autor de diversos artigos científicos Instrutor de diversos treinamentos para organizações privadas no Brasil e no exterior assim como para instituições educacionais.

--- Training 4 - OWASP Top 10 + Java EE

Date: October 4th 2011 - 9AM to 5:30PM

Language: Portuguese

Instructor: Magno Rodrigues

Abstract: The goal of this training is to give a better understanding about the top 10 risks that are more critical to web applications using the OWASP Top 10 v.2010 document, that describes them, their impacts and how to avoid them. We will go through all 10 risks, showing what they are with practical examples and detailed explanation. Participants will have the opportunity to practice the search and fixing of theses risks with a vulnerable web application called WebGoat, which is also an OWASP Project developed in Java EE. All the examples will be in Java, so previous knowledge of this programming language is a plus but not mandatory.

About the instructor: Magno Rodrigues de Oliveira é Líder e Fundador do Capítulo da OWASP na Paraíba. Pós-Graduando em Segurança da Informação pela Faculdade de Tecnologia de João Pessoa. Realizou um curso de 1 (um) ano em Forense Computacional em Nova York, EUA. Formado em Tecnologia em Sistemas para Internet pelo Instituto Federal de Educação, Ciência e Tecnologia da Paraíba. Trabalha atualmente como Analista de Sistemas da Politec, prestando serviços para a Secretaria de Estado da Receita da Paraíba.

- Training 5 - Protecting Java Web Applications against known (and unknown) vulnerabilities with the new Mod_Security for Java.

Date: October 4th 2011 - 9AM to 5:30PM

Language: Spanish

Instructor: Juan Carlos Calderon

Abstract: Explanation on how Mod_Security for Java works, when is more suitable, how to install it, configure it and create rules in both XML and Mod_Security format to protect a java application against common vulnerabilities in OWASP Top 10 and SANS/CWE 25. Also an introduction to OWASP Mod_Security Core Ruleset to protect application on dangerous patterns that can lead to vulnerabilities not publicly available right now.

About the instructor: Professional with 11 years of application security expertise working for multinational companies in the Financial, Aviation, Media and transportation industries, supporter of OWASP as project leader since 5 years ago and CSSLP certified.

Training 6 - Uso da OWASP ESAPI (Enterprise Security API) para prover segurança em aplicações Web

Date: October 4th 2011 - 9AM to 5:30PM

Language: Portuguese

Instructor: Tarcizio Vieira Neto

Abstract: A evolução da tecnologia no desenvolvimento de aplicações WEB tem contribuído com o aumento significativo do uso dessa tecnologia para atender os mais diversificados propósitos. Porém, essa tecnologia está sujeita a diversas vulnerabilidades de segurança críticas, principalmente quando pesquisas recentes apontam que a maioria das vulnerabilidades estão presentes na própria aplicação. A biblioteca ESAPI (Enterprise Security API), da OWASP, surge neste cenário como uma biblioteca de segurança open source disponível para diversas linguagens, como Java EE, PHP, .NET, ASP Clássico, Python, Ruby, entre outras. O minicurso aborda de modo prático as vulnerabilidades causadas por erros comuns no desenvolvimento de aplicações e os mecanismos de controle de segurança providos pela biblioteca ESAPI com o foco na tecnologia Java. Os princípios gerais aprendidos no curso podem ser aplicados no contexto das demais linguagens de programação.

About the instructor: Tarcizio Vieira Neto é graduado em Ciência da Computação pela Universidade Federal de Goiás (UFG), em Goiânia. Atualmente trabalha no SERPRO, desde novembro de 2009, como Analista de Desenvolvimento, na Coordenação Estratégica de Tecnologia CETEC, desenvolvendo trabalhos sobre o tema segurança no desenvolvimento de aplicações, envolvendo aspectos processuais e técnicos, como também participa da prospecção de ferramentas que dão suporte à segurança no desenvolvimento de aplicações Web. Participou também como instrutor no treinamento de novos empregados e auxiliou na elaboração do material do curso em Ensino a Distância na universidade corporativa do SERPRO (UniSERPRO). Participou da primeira versão da tradução do OWASP Secure Coding Principles Quick Reference Guide, para o português brasileiro e liderou o projeto de revisão da tradução do mesmo documento. Possui especialização em gestão da segurança da informação pela Universidade de Brasília (UnB).

Venue
The event will be held in Porto Alegre, RS, Brazil at PUCRS University - Building 50 Auditorium.

You can check the location at Google Maps

Online Registration
Registration form is available at http://registration2011.appseclatam.org/

Conference Fees
Access to conference:


 * Before Aug 31st: 250.00 BRL
 * Before Sep 30th: 350.00 BRL
 * After Oct 1st:      450.00 BRL

Trainings


 * One day:   450.00 BRL
 * Two days: 900.00 BRL

Please check the registration form for information about conference packages.

Discounts


 * OWASP Member: 100.00 BRL (Note: This discount is greater than the OWASP USD 50.00 annual fee. Check here
 * Student:             100.00 BRL (Note: student ID required).
 * Special discounts available for groups registrations. Please send inquiries to appsec2011@appseclatam.org

Visitors' Guide
Gate for tourists in the state of Rio Grande do Sul in Brazil, and only 120 miles from the pleasant Serra Gaucha, Porto Alegre is a bustling hub of services and infrastructure with quality recognized, and a base of large national and international companies and a major destination for international events in Brazil.

Usefull links:

http://www2.portoalegre.rs.gov.br/turismo

https://secure.wikimedia.org/wikipedia/en/wiki/Porto_Alegre

60 Minutes recent report about Brazil and his development potencial:

Tourist video about Porto Alegre City:

Electric Outlet
https://www.owasp.org/images/0/0f/Tomadas_diversas.jpg Reference: http://omegatek.blogspot.com/2010/05/novo-padrao-de-tomadas-brasileiras.html

Accommodation
NOVOTEL PORTO ALEGRE (Oficial hotel of event) Av. Soledade, 575 Três Figueiras Phone: (51) 3327-9292 E-mail: H3258-RE@accor.com.br Táxi Cootaero from airport to Novotel: R$30,00 ( phone 3358-2500)

Single / Double R$243,00 / R$289,00 Cortesy breakfast

General Conditions . Diárias expressas em reais (R$), por dia e por apartamento;. Diárias iniciam e terminam às 12 horas;. Taxa de Turismo (opcional) - R$2,50 por dia/apartamento;. Imposto Municipal: acrescer 5% ISS;. O acesso à internet nas áreas sociais e nos apartamentos é cortesia;. Estacionamento: R$16,00 por carro ao dia (com manobrista);. Terceira pessoa no apartamento: Mediante disponibilidade. Cobrada taxa diária de R$47,00 + 5% ISS e será acomodada em cama extra ou sofá cama;. Forma de Pagamento: Depósito antecipado ou pagamento direto;. Garantia de No Show: Todas as reservas deverão ter garantia de no show. Em caso de não comparecimento, poderá ser cobrado o período integral reservado;. Não aceitamos cheques;. Duas crianças de até 16 anos no Novotel e uma criança de até 12 anos no Mercure acompanhadas dos pais/responsáveis no mesmo apartamento serão cortesia. Necessária apresentação de documentação de identificação no check-in;. Valores pagos não serão reembolsáveis ou dados como créditos para próximas hospedagens;

Map link: http://maps.google.com.br/maps?hl=pt-BR&um=1&ie=UTF-8&q=novotel+porto+alegre&fb=1&gl=br&hq=novotel&hnear=0x9519784e88e1007d:0xc7011777424f60bd,Porto+Alegre+-+RS&cid=0,0,11722004907679800889&ei=GKn4TfaHDIP20gGF9pXDCw&sa=X&oi=local_result&ct=image&resnum=1&ved=0CDAQnwIwAA

https://www.owasp.org/images/3/33/Novohotel.jpg

Social Events
Information will be published here.

Sponsoring
We are looking for sponsors for 2011 edition of Global AppSec Latin America. See more details about sponsor opportunities.

If you are interested to sponsor Global AppSec Latin America 2011, please contact the conference chair: [mailto:AppSec2011@AppSecLatam.org AppSec2011@AppSecLatam.org].

To find out more about the different sponsorship opportunities please check the document below: OWASP AppSec 2011 Sponsorship English.pdf

Team
[mailto:abc@elipse.com.br Alexandre Balestrin Correa] Cassio Goldschmidt Jerônimo Zucco L. Gustavo C. Barbato Lucas C. Ferreira Rafael Dreher

What is the Chapter Leader Workshop?
On Wednesday, October 5,2011 at 13:30h-16:30h the Global Chapter Committee is organizing a chapter leader workshop for all the chapter leaders that attend the conference. Please note that this Workshop will take place on the day before the Conference starts.

Items that will be discussed are:
 * How to improve the current Chapter Leader Handbook?
 * How to start and support new chapters within Latin America?
 * How to support inactive chapters within Latin America?
 * What Governance model is required for OWASP chapters?
 * How can the Global Chapters Committee facilitate the Latin American chapters?

Additionally we hope to make time and space available to do hands-on work revising the Chapter Leader Handbook, details TBA.

Funding to Attend the Workshop
If you need financial assistance to attend the Chapter Leader Workshop at AppSec Latin America, please submit a request to [mailto:tin.zaw@owasp.org Tin Zaw] and [mailto:sarah.baso@owasp.org Sarah Baso] by August 22, 2011.

Funding for your attendance to the workshop should be worked out in the following order.


 * 1) Ask your employer to fund your trip to AppSec Latin America conference.
 * 2) Utilize your chapter funds.
 * 3) Ask the chapter committee for funding assistance.

While we wish we could fund every chapter leader, due to the limited amount of budget allocated for this event, we may not be able to fund 100% to all the requests. After August 22, we will make funding decision in a fair and transparent manner. When you apply for funding, please highlight your past contributions to OWASP and your future plans for the local chapter and OWASP.

RSVP and Details
To RSVP and view more details about the Workshop, go to the AppSecLatam2011 chapters workshop agenda.

Contact
Email [mailto:sarah.baso@owasp.org Sarah Baso] or [mailto:tin.zaw@owasp.org Tin Zaw] for more details.