AppSec Brasil 2010 (pt-br)



The English version is here

= OWASP AppSec Brasil 2010 =

A segunda edição da versão brasileira da série de conferências mais importante da OWASP ocorrerá em Campinas, SP. A conferência terá dois dias de treinamentos, seguidos de dois dias de conferência em trilha única.

Datas Importantes
A Conferência ocorrerá entre 16 e 19 de novembro de 2010. Os primeiros dois dias serão dedicados aos treinamentos. As plenárias ocorrerão em 18 e 19 de novembro de 2010.

Sobre a Conferência
Dando prosseguimento ao sucesso da primeira AppSec Brasil, que ocorreu em Brasília em 2009, o Capítulo brasileiro do OWASP irá promover a segunda edição em 2010, na cidade de Campinas, a cerca de 90 km de São Paulo

Campinas é a terceira maior cidade do estado de São Paulo (e a maior fora da área metropolitana da Capital) e é um importante polo econômico, abrigando universidades e centros de pesquisa de renome internacional. A cidade também concentra muitas indústrias de alta tecnologia, incluindo multi-nacionais dos ramos de eletrônicos, telecomunicações e quimicos.

Este ano, esperamos reunir um número expressivo de profissionais e pesquisadores brasileiros e latino-americanos para compartilharem informações sobre o estado-da-arte da segurança de aplicações.

Patrocínio
Estamos atualmente buscado patrocinadores para a edição 2010 da AppSec Brasil. Veja mais detalhes sobre as [[Media:OWASP_AppSec_Brasil_2010-Oportunidade_de_Patroc%C3%ADnio.pdf|oportunidades de patrocínio]].

Se estiver interessado em patrocinar o AppSec Brasil 2010, por favor entre em contato com a equipe organizadora da conferência pelo email organizacao2010@appsecbrasil.org.

Robert 'Rsnake' Hansen
SecTheory

Title: TBD.

Bio: Robert Hansen, também conhecido como RSnake, é o fundador e CEO da empresa SecTheory. Trabalhou para empresas como Digital Island, Exodus Communications e Cable & Wireless ocupando diversos cargos desde Arquiteto de Segurança Sênior e eventualmente como gerente de produtos de diversos serviços da linha de serviços gerenciados de segurança. Também trabalhou no eBay como Gerente Global Sênior para Confiança e Segurança, focando em anti-phishing, anti-malware de DHTML e estratégias de anti-vírus. Posteriormente ele trabalhou como Diretor de Gerenciamento de Produtos para o site Realtor.com. Robert é membro do conselho consultivo para o Grupo Intrepidus, e anteriormente era membro do conselho consultivo técnico da ClickForensics e atualmente contribui para a estratégia de segurança de diversas companhias startup.

O Sr. Hansen escreveu o livro Detecting Malice, publica conteúdo para a O'Reilly e é co-autor do livro XSS Exploits da editora Syngress. Ele é membro do grupo do NIST.gov para Métricas de Garantia de Software e Avaliação de Ferramentas com foco em scanners de segurança de aplicações e membro do grupo de Critérios de Avaliação de Scanners para Segurança de Aplicações (WASC-WASSEC). Passou instruções ao Departamento de Defesa no Pentágono e é palestrante em conferências como SourceBoston, Secure360, GFIRST/US-CERT, CSI, Toorcon, APWG, ISSA, TRISC, conferências mundias da OWASP/WASC, SANS, Microsoft Bluehat, Blackhat, DefCon, SecTor, BSides, Networld+Interop e foi um keynote speaker na Conferência de CyberSegurança de Nova York, NITES e OWASP AppSec Asia. O Sr. Hansens é um membro da Ingragard, West Austin Rotary, WASC, IACSP, APWG, contribui para o guia OWASP 2.0 e está no Comitê de Conexões da OWASP.

Robert também mantém o site http://ha.ckers.org onde discute sobre segurança de aplicações web e provê muitas informações úteis que podem ser usadas contra ataques de aplicações web.

Jeremiah Grossman
WhiteHat Security

Título: A definir.

Bio: Jeremiah Grossman, fundador e CTO da WhiteHat Security, é um especialista em segurança web. É co-fundador do Web Application Security Consortium (WASC), foi escolhido pela InfoWorld um dos Top 25 CTOs em 2007 e é frequentemente citado em publicações técnicas ou de negócios. Publicou dezenas de artigos, foi o descobridor de várias técnicas avançadas de ataque e defesa e é co-autor do livro "XSS Attacks: Cross Site Scripting Exploits and Defense." Grossman é também um blogueiro influente que oferece idéias e encoraja um dálogo franco sobre pesquisas e tedências da segurança na web. Antes da WhiteHat, Grossman foi um "information security officer" no Yahoo!

Samy Kamkar
Título: How I Met Your Girlfriend: A descoberta e execução de classes inteiramente novas de ataques na Web, a fim de encontrar sua namorada.

Resumo: Esta apresentação inclui ataques divertidos e recém-descobertos, incluindo a previsão de sessão e números aleatórios em PHP (adivinhar cookies de sessão PHP com precisão), browser protocol confusion (transformando um browser em um servidor SMTP), penetração em firewall e NAT via Javascript (transformar o seu roteador contra você), sequestro remoto do Google Maps no iPhone (invasão do iPhone combinado com man-in-the-middle em HTTP), extração de informações de geolocalização extremamente precisa de um navegador da Web (sem usar IP geolocation), e muito mais.

Biografia: Samy Kamkar é mais conhecido pelo worm Samy, o primeiro worm XSS que infectou mais de um milhão de usuários no MySpace em menos de 24 horas. É co-fundador da Fonality, Inc., uma empresa de PBX IP, Samy anteriormente liderou o desenvolvimento do software de do servidores de nomes de domínio (top-level domains) e sistemas para a Global Domains International (.ws).

Nos últimos 10 anos, Samy tem-se centrado no desenvolvimento de algoritmos evolutivos e genéticos, desenvolvimento de software para voz-sobre-IP, segurança automatizada e pesquisa de vulnerabilidades de segurança de rede, engenharia reversa, e jogos em rede. Quando não está amarrado por trás da Matrix, Samy está envolvido em projetos de serviços da comunidade local.

Mano Paul
Título: Wild Wild Wild Security Planet

Resumo: Organisms keep themselves safe in a world that's every bit as unpredictable as our world. This presentation will parallel what we can learn from the world of art, literature, science, nature and apply it to the world of software security. For e.g., If Shakespeare had to write about software security, what would he write? What does a naked motorist have to do with loose lips that sink ships? What does pH have to do with software vulnerabilities? What does the Stick Insects' regenerative ability have to do with software 'bugs'? or can the Ostrich sticking its head in the sand behavior reflect the modicum of risk management we observe today and many more ...

The talk would be a fun-filled, extremely interactive session covering various concepts of security from risk management, defense in depth, secure programming, threats and vulnerabilities and compliance and more ... Come to find out the answers to the questions above and see what it takes to develop software with a security mindset throughout its life cycle. Come and look at software security from a different perspective that would make ALL the difference for you and your company.

Biografia: Manoranjan (Mano), Paul é o Consultor de Software Assurance para o (ISC)2. Sua experiência em Segurança da Informação e Software Assurance inclui projetar e desenvolver programas de segurança para complience-to-coding, segurança no SDLC, escrever código seguro, gestão de riscos, estratégia de segurança e treinamento e educação em conscientização de segurança. Ele fundou e serve como CEO e Presidente da Express Certifications. Ele também fundou SecuRisk Solutions, uma empresa especializada no desenvolvimento de produtos de segurança e consultoria.

Palestras
As palestras abaixo foram aceitas para apresentação no AppSec Brasil 2010. No descritivo de cada palestra consta o status atual da palestra, ou seja, se já houve confirmação da presença dos palestrantes no AppSec Brasil 2010.

Cassio Goldschmidt
Symantec



Responsabilidade pelo Prejuízo e Riscos de Falhas de Segurança de Software
Resumo: Quem é responsável pelos prejuízos e riscos de falhas de segurança? O advento de redes mundiais tais como a Internet tornou a segurança de software - ou a falta de - um problema de proporções internacionais. Não há modelos de risco matemáticos ou estatísticos disponíveis para avaliar sistemas em rede com falhas interdependentes. Sem essa ferramenta, tomadores de decisão estão destinados a super-investir em atividades que não geram o retorno sobre o investimento desejado ou sub-investir em mitigações, correndo o risco de terríveis consequências. Experiências sugerem que nenhum grupo é totalmente responsável pelos prejuízos e riscos de falhas de segurança em software, mas um modelo de responsabilidade parcial somente pode emergir uma vez que os deveres e motivações de todos os grupos sejam examinados e compreendidos.

Biografia: Cassio Goldschmidt é gerente sênior do time de segurança de produtos do escritório do CTO da Symantec Corporation. Nesse cargo, ele lidera os esforços na companhia para garantir o desenvolvimento seguro de produtos de software. Suas responsabilidades incluem gerenciar o processo interno de desenvolvimento seguro de software, treinamento, análise de riscos, testes de invasão e gerenciamento de vulnerabilidades. Sua experiência inclui mais de 14 anos em cargos técnicos e gerenciais na indústria de software. Durante os oito anos que está na Symantec, ele auxiliou a arquitetar, desenhar e desenvolver diversos produtos campeões de vendas, conduziu diversas aulas de segurança e coordenou diversos testes de invasão. Cassio também é conhecido por liderar o capítulo do OWASP de Los Angeles e é um palestrante frequente em conferências de segurança no mundo todo.

Cassio representa a Symantec no comitê técnico do SAFECode e o (ISC)2 no desenvolvimento da certificação CSSLP. É Bacharel em Ciências da Computação pela PUC do Rio Grande do Sul, Mestre em Engenharia de Software pela Santa Clara University e MBA pela University of Southern California.

Status: Confirmada

Amichai Shulman
Imperva



Business Logic Attacks – BATs and BLBs
Demais autores: Rob Rachwald

Resumo: Cyber ataques estão sendo realizados com mais frequência por profissionais e cada vez mais motivados por interesses financeiros. Pesquisadores descobriram a crescente popularidade de uma certa classe de ataques que miram em lógicas de negócio. Ataques de lógica de negócio são um conjunto de aplicações transacionais permitidas que são usadas para realizar operações maliciosas que não são parte de práticas normais de negócio. Por exemplo, realizar um brute force em cupons de desconto em uma aplicação de e-commerce para receber múltiplos descontos. Essa apresentação proverá uma rápida introdução aos ataques de lógica de negócio, suas características únicas e a motivação por trás do aumento desse tipo de ataque. A sessão irá sugerir um método de classificação para esses ataques do qual os participantes poderão desenhar um conjunto de habilidades necessárias para mitigação. Nós discutiremos as habilidades necessárias para detectar interações automatizadas na aplicação, diferentes tipos de repetição, comprometimento de fluxos e até credenciais comprometidas. Nós também iremos contemplar a utilização de técnicas de mitigação tais como Captcha, introdução de delayse mais.

Biografia: Amichai Shulman é co-fundador e CTO da Imperva, onde é líder do ‘’Application Defense Center – ADC’’, organização de pesquisa internacionalmente reconhecida da Imperva, focada em segurança e conformidade. O Sr. Shulman regularmente palestra em conferências do Mercado e contribui mensalmente com seminários online. A imprensa recorre a experiência do Sr. Shulman para comentar sobre notícias recentes, inclusive brechas de segurança, técnicas de mitigação e tecnologias relacionadas. Sob sua direção, foi creditado ao ADC a descoberta de diversas vulnerabilidades sérias em aplicações ‘’web’’ comerciais e produtos de base de dados, tais como Oracle, IBM e Microsoft. Antes da Imperva, o Sr. Shulman foi o fundador da Edvice Security Services Ltd., um grupo de consultoria que provia serviços de segurança para aplicações e bancos de dados para grandes empresas financeiras, incluindo testes de invasão ‘’web’’ e em bases de dados, estratégias de segurança, desenho e implementação. O Sr. Shulman serviu nas Força de Defesa Israelense, onde liderou um time que identificou novas técnicas de ataque defesa para computadores. Ele é Bacharel e Mestre em Ciências da Computação pelo Technion Israel Institute of Technology. Status: Confirmada

Gabriel Quadros
Conviso

Taint Analysis em Código JavaScript para Detecção de Vulnerabilidades em Aplicações Web
Resumo: As aplicações Web modernas fazem uso cada vez maior de código client-side, com código JavaScript sendo o mais presente na maioria delas. Várias vulnerabilidades são introduzidas com o uso descuidado dessa linguagem. As ferramentas de análise disponíveis publicamente geralmente se baseiam em pattern matching para encontrar possíveis vulnerabilidades, mas essa não é uma estratégia eficiente para analisar grande quantidade de código. Portanto, existe a necessidade do desenvolvimento de ferramentas capazes de realizar análises mais avançacas, como Taint Analysis e Execução Simbólica. Este artigo discute várias abordagens para a análise dinâmica de código JavaScript e apresenta a ferramenta JsInstrumentator, que está sendo desenvolvida pelo Conviso Security Labs.

Biografia: Gabriel Quadros começou a estudar segurança da informação em 2003, com interesse principal em engenharia reversa, pesquisa de vulnerabilidades e desenvolvimento de exploits.

Atualmente cursa o último ano do Bacharelado em Ciência da Computação na Universidade Estadual do Sudoeste da Bahia - UESB.

Em abril de 2010, começou suas atividades como consultor de segurança na Conviso IT Security.

Status: Confirmada

Tony Rodrigues
IT Provider

Tony’s Top 10 Application Artifacts: A Computer Forensics Approach to OWASP Top 10
Resumo: Computação Forense para Aplicações tem muitas peculiaridades em relação a outras disciplinas forenses. Além de requerer técnicas diferenciadas, os vestígios relacionados são também bastante específicos. Essa apresentação trata dos dez principais vestígios relacionados com perícias e investigações de aplicações e seus ambientes, abordando-os de maneira paralela ao OWASP Top 10.

Biografia: Tony Rodrigues é um profissional certificado CISSP, CFCP e Security+ com mais de 20 anos de experiência em TI e 8 anos em Gestão de Segurança de Informações. Já liderou várias investigações,	perícias e pesquisas sobre Computação Forense. Tony é consultor em Segurança de Informações e palestrou em importantes conferencias internacionais (CNASI, H2HC,YSTS). É autor/criador do blog forcomp.blogspot.com, sobre Resposta a Incidentes e Forense Computacional e também colabora com artigos no blog de Computer Forensics da SANS.

Status: Confirmada

Henrich Christopher Pöhls
University of Passau - ISL

The State of XML Digital Signatures --- How to Avoid Technical Pitfalls and Harvest the Power of Newer Signature Schemes
Resumo: XML Digital Signatures are a complex tool, applied right they help to ensure legal compliance, but there are many pitfalls. This talk will provide some basic steps that users and implementers should follow to avoid the pitfalls, among them are: - Solid Understanding of the XML Signature processing and verification steps - Use of simplistic and coherent references when creating XML Digital Signature - Know how to Test what was signed before acting upon it (BitFlip Test) The Talk will also provide an overview of new applications for recent and more specialized digital signature schemes, like sanitizable signature schemes (academic research since roughly 2000) that allow to deal with the need to modify already signed content. And it will highlight the security relevant changes that are planned for the upcoming version of XML Signature Syntax and Processing 2.0.

Biografia: Henrich C. Pöhls has presented his scientific work on digital signatures at several academic conferences (i.e. ICICS, GI, Invited Talks) or to technical audiences (i.e. DFN CERT, OWASP). Instructor of a practical IT-security university class for Computer Science and IT-Security Master students for the last 7 years. He has established this course first at the University of Hamburg in 2004 and than at the University of Passau in 2008. The course, now titled "Security Infrastructures", is centered around security infrastructures focussing on secure & authenticated access through the use of digital signatures.

It involves setting-up a certificate authority, using digital signatures and X509 certificates mostly for authentication in open-source software like client and server authentication with apache, secure DNS zone transfers, or client and server authentication in openvpn, as well as in MS Windows environments.It also covers certificate revocation using CRLs and OCSP. Henrich C. Pöhls draws from a rich repository of his own experience from his academic research in the field and the 7 years of using the available tools for creating, applying and managing digital signatures and X509 certificates in different versions and seeing his students struggle with the pitfalls trying to get it to work.

Status: Confirmada

Rodrigo Montoro
Trustwave Spiderlabs

Web Application First Aid - Virtual Patching with ModSecurity
Resumo: Nessa apresentação demonstraremos o processo para criação de um Virtual Patch para sua aplicação web desde o processo para encontrar a falha até a correção provisória. Entre os assuntos abordaremos :


 * Testes de Aplicação Web
 * Como funciona um BlackBox ?
 * Como funciona um WhiteBox ?
 * Funcionamento do ModSecurity
 * Encontrei uma falha e agora ?
 * Entendendo a falha encontrada
 * Criando uma regra para Virtual Patching
 * Testando a(s) regra(s)

Na apresentação daremos enfase que o Web Application Firewall (WAF) não substitui um code review ou teste da aplicação e sim deve e pode ser usada como ótimo complemento de segurança para seu ambiente.

Biografia: Rodrigo “Sp0oKeR” Montoro possui grande experiência em ambientes opensource e mercado de segurança especialmente na parte de IPS/IDS, malwares e protocolos. Atualmente trabalha no time de pesquisas do SpiderLabs (Trustwave) onde faz parte do core team de assinaturas do modsecurity além de analise de malwares, assinaturas de IDS e pesquisas na area de arquivos maliciosos especialmente pdfʼs.

Status: Confirmada

Brian Contos
McAfee

Exploring Three Modern Attack Vectors: Insiders, Industrialized and APTs
Resumo: Attacks are coming from all angles. In some cases they are very rudimentary; in others they are highly complex. Organizations must be able to protect themselves regardless, and do so in a way this is in parity with business operations, maintains employee and partner agility, and is manageable without the complexity of the solution being worse than the attack itself.

Failure to address these three different attack types can result in everything from diminished brand loyalty, regulatory penalties, and lost revenue, to stolen intellectual property, economic competitive disadvantage, and military competitive disadvantage. Based on research from McAfee Labs and customer interactions across the globe in the public and private sector, there is much information that can be shared about these attackers and their strategies.

Attendees will leave the presentation more knowledgeable about insider threats, industrialized hacking, and APTs. They will have a strong grasp of the attacker motives and understand their attack vectors. The audience will also be exposed to several non-vender, non-product specific countermeasures that they can leverage within their own organizations.

Biografia: Mr. Contos has over 15 years of security engineering and management expertise. He has worked throughout North and South America, Europe, the Middle East, and Asia. At McAfee he advises government organizations and G2000s on security strategy. He has written two books including Enemy at the Water Cooler – Real Life Stories of Insider Threats, and Physical and Logical Security Convergence which he co-authored with former NSA Deputy Director William Crowell. He has delivered speeches at industry events like RSA, Black Hat, Interop, OWASP, CSI, ISACA, ISSA, InfraGard and eCrime. He is often quoted by business and industry press, and has written articles for Forbes, NY Times, London Times, Computerworld, and many others. He was formerly the Chief Security Strategist for Imperva, the Chief Security Officer for ArcSight, and has held management and engineering positions at Riptech, Bell Labs, Tandem Computers, and DISA.

Status: Confirmada

Christophe De La Fuente
Trustwave

Testing and Fuzzing FLEX: More fun with RIA
Demais autores: Matt Tesauro

Resumo: FLEX is a popular choice for the brave new world of web 2.0 applications. While the game may have appeared to change, rich Internet applications (RIA) still allow for the same vulnerabilities and design mistakes to be made. This presentation will cover methods for testing Adobe FLEX applications including the new version 4 and will look at such issues as cross-­-site flashing, remote calls and fuzzing. Additionally, there will be coverage of tools to test FLEX and other Flash applications including their addition to the OWASP WTE (Web Testing Environment). Finally, some design issues which may hamper FLEX development will be discussed in a brief case study.

Biografia: Christophe is a Security Consultant within the Application Security practice at Trustwave's SpiderLabs. SpiderLabs is the advanced security team responsible for Penetration Testing, Application Security, and Incident Response for Trustwave's clients.

Christophe has extensive experience in penetration tests on web application and network infrastructure. He has a background testing a large range of applications, from traditional client/server applications to web applications and web services. In addition to his information security experience, Christophe has experience developing software and web applications. Christophe also has an interest in reverse code engineering for malware analysis and vulnerability research. He as taught post-­-graduate level university course in the field of web application security testing.

Status: Confirmada

Codificação Segura em Aplicações J2EE


''' Atenção: Este treinamento será ministrado em inglês SEM tradução simultânea. '''

Data e horário: 16 e 17 de Novembro (9 às 18 horas) Instrutor: Jason Li

Resumo A capacitação de desenvolvedores nas práticas de programação segura oferece o mais alto retorno de investimento em meio a todo o orçamento de segurança, através da eliminação de vulnerabilidades diretamente no código. O curso Aspectos de Programação Segura JAVA EE faz crescer a noção de questões relativas segurança de aplicações em meio aos desenvolvedores e fornece exemplos de “o que fazer” e “o que não fazer”. O curso é ministrado por um desenvolvedor experiente e apresentado de maneira bastante interativa. Este curso inclui exercícios “mão-na-massa” onde os alunos são chamados a executar análises e testes de segurança em uma aplicação Web Java EE real. Este ambiente especialmente planejado inclui falhas intencionais as quais os alunos deverão encontrar, diagnosticar e corrigir. O curso também faz uso de exercícios de programação Java EE, de forma a fornecer aos alunos uma experiência realista e “mão-na-massa” de desenvolvimento seguro. Os alunos obtêm essa experiência “mão-na-massa” usando ferramentas de teste de segurança de aplicações Web, disponíveis gratuitamente, de forma a buscar e diagnosticar falhas e aprender a evitá-las em seu próprio código.

Público Alvo O publico esperado para este curso é composto por desenvolvedores de aplicações JAVA EE e por testadores que possuam conhecimentos de programação.

Objetivos de Aprendizado

O objetivo maior do curso é assegurar que os desenvolvedores são capazes de projetar, construir e testar aplicações seguras Java EE e compreender a importância da segurança no processo.

Tópicos


 * Aprendendo os Fundamentos Objetivos do HTTP
 * Compreender e ser capaz de empregar as características de segurança

envolvidas no uso do HTTP (e.g., cabeçalhos, cookies, SSL).


 * Princípios e Padrões de Projeto
 * Compreender e ser capaz de aplicar os princípios de projeto de

segurança de aplicação.


 * Ameaças
 * Ser capaz de identificar e explicar as ameaças comuns à segurança de

aplicações Web (cross-site scripting, SQL injection, ataques de “denial of service”, ataques de "Man-in-the-middle", etc.) e implementar técnicas para mitigar o risco.


 * Autenticação e Gerência de Sessão
 * Ser capaz de tratar credenciais de forma segura, ao fornecer um leque

completo de suporte a funções de autenticação, incluindo login, troca, esquecimento e recuperação de senha, logout, re-autenticação e expiração de sessão.


 * Controle de Acesso
 * Ser capaz de implementar regras de controle de acesso à interface de

usuário, lógica de negócio e camada de dados.


 * Validação de Campos
 * Ser capaz de reconhecer problemas potenciais na validação de campos,

particularmente problemas de injection e Cross-site Scripting (XSS), e implementar os mecanismos apropriados de validação de campos informados pelo usuário ou obtidos a partir de outras fontes de entrada.


 * Injeção de Comandos
 * Compreender os perigos da injeção de comandos e as técnicas para

evitar a introdução deste tipo de vulnerabilidade.


 * Tratamento de Erros
 * Ser capaz de implementar um tratamento consistente de erros (exceções)

e um esquema de log para a aplicação Web como um todo.


 * Criptografia
 * Aprender em quais situações de deve aplicar técnicas de criptografia e

ser capaz de escolher algoritmos, usar criptografia/decriptografia e funções de hash de forma segura.

O Instrutor Jason é um instrutor notável, tendo comandado cinco diferentes cursos no período de um ano para nossos principais e diversos clientes de longa data. A base de clientes inclui uma grande instituição financeira, diversas empresas líderes do ramo de encomendas e logística e um líder na integração de sistemas governamentais.

Jason também já ministrou os cursos Testando a Segurança de Aplicações Web Anvançado e Construindo Aplicações Web Seguras na conferência OWASP 2008, na Bélgica e Índia.

Elogios comuns encontrados nas avaliações dos cursos de Jason incluem “Este é provavelmente um dos cursos mais importantes aos quais já fui exposto aqui”e “Um dos melhores instrutores que já tive. Um conhecimento efetivo do assunto. Manteve a turma interessada através do compartilhamento de exemplos pessoais reais os quais descreveram bons cenários”'''. '''

Utilizando a API de segurança OWASP ESAPI (Enterprise Security API) para prover segurança em aplicações Web
''' Treinamento em português. '''

Data e horário: 16 de Novembro (9 às 18 horas) Instrutor: Tarcizio Vieira Neto

Resumo

A evolução da tecnologia no desenvolvimento de aplicações WEB tem contribuído com o aumento significativo do uso dessa tecnologia para atender os mais diversificados propósitos. Porém, essa tecnologia está sujeita a vulnerabilidades de segurança críticas, principalmente quando pesquisas recentes apontam que a maioria das vulnerabilidades estão presentes na própria aplicação. A biblioteca ESAPI (Enterprise Security API), da OWASP, surge neste cenário como uma biblioteca de segurança open source disponível para diversas linguagens, como Java EE, PHP, .NET, ASP Clássico, Python, Ruby, entre outras. O minicurso abordada as vulnerabilidades causadas por erros comuns no desenvolvimento de aplicações e os mecanismos de controle de segurança providos pela biblioteca ESAPI com o foco na tecnologia Java. Os princípios gerais aprendidos no curso podem ser aplicados no contexto das demais linguagens de programação.

Público Alvo

O perfil desejado de audiência são pessoas ligadas à área de desenvolvimento e segurança de aplicações  Web,   tendo   como   pré-requisito   conhecimentos   básicos   em   tecnologias   Web, protocolos de comunicação HTTP e HTTPs, princípios básicos de segurança: criptografia, hash e assinatura digital, programação Java para sistemas Web.

Objetivos de Aprendizado


 * Conhecer as principais vulnerabilidades de segurança comumente encontradas em aplicações Web.
 * Apresentar a arquitetura da biblioteca ESAPI e o funcionamento de seus módulos com exemplos em código Java associados.
 * Apresentar o componente Web Application Firewall da ESAPI.

Tópicos


 * 1) Introdução
 * 2) Mitos relacionados à segurança em Aplicações Web
 * 3) Projeto OWASP
 * 4) OWASP Top 10
 * 5) Biblioteca OWASP ESAPI
 * 6) Módulo de Validação e Codificação
 * 7) Módulo de Autenticação
 * 8) Módulo de Controle de Acesso
 * 9) Módulo de utilitários HTTP
 * 10) Módulo de tratamento de referência de acesso
 * 11) Módulo de Criptografia
 * 12) Módulo de Log
 * 13) Módulo de Detecção de Intrusão
 * 14) Integrando o módulo AppSensor com a ESAPI
 * 15) Utilizando Filtros
 * 16) Configurando a ESAPI
 * 17) Módulo Web Application Firewall da ESAPI
 * 18) Vantagens do Uso da Biblioteca ESAPI
 * 19) Conclusões

O Instrutor

Tarcizio Vieira Neto é graduado em Ciência da Computação pela Universidade Federal de Goiás (UFG), em Goiânia. Começou a carreira de desenvolvedor como estagiário em  um projeto de iniciação tecnológica financiado pelo CNPq na empresa Estratégia, em Goiânia. Após concluir a graduação trabalhou por seis meses na empresa Fibonacci Soluções Ageis, na mesma cidade, no cargo de analista de desenvolvimento. Em seguida trabalhou por dois anos e oito meses na Força Aérea Brasileira como oficial analista de sistemas do quadro complementar no Centro de Computação da Aeronáutica de Brasília, onde adquiriu experiência com a tecnologias de certificação digital e colaborou no desenvolvimento de um sistema corporativo de gestão eletrônica de documentos.

Atualmente trabalha no SERPRO desde novembro de 2009 como Analista de Desenvolvimento, na Coordenação Estratégica de Tecnologia – CETEC, desenvolvendo trabalhos sobre o tema segurança no desenvolvimento de software, desde novembro de 2009, onde dedica-se prioritariamente na elaboração de guias que padronizam técnicas e ferramentas que dão suporte à segurança no desenvolvimento de aplicações Web. Está cursando o curso de especialização em segurança da informação pela Universidade de Brasília (UnB) e possui ao todo mais de 5 anos de experiência com programação em Java.

A arte e a ciência da modelagem de ameças de applicações web
''' Atenção: Este treinamento será ministrado em inglês SEM tradução simultânea. '''

Data e horário: 17 de Novembro (9 às 18 horas) Instrutor: Mano Paul

Resumo

Para manter a sua casa segura, você primeiro precisa saber como o ladrão poderia entrar e sair e onde você deve armazenar o seus valores. O mesmo é verdade para as suas aplicações web. A menos que você saiba quais as vulnerabilidades e ameaças para seus aplicativos web, e quais medidas de segurança que você deve tomar para protegê-los, invasores ou o inimigo dentro (insider) poderiam tirar proveito das vulnerabilidades.

Modelagem de Ameaças é uma técnica que você pode usar para identificar ATVS (ataques, ameaças, vulnerabilidades e garantias) que poderiam afetar suas aplicações web. Modelagem de ameaças ajuda a projetar sua aplicação de forma segura a partir de uma perspectiva de confidencialidade, integridade, disponibilidade, autenticação, autorização e auditoria. É uma atividade essencial a ser realizada durante a fase de concepção do seu SDLC e ajuda a reduzir e minimizar o risco global.

Público Alvo

O público alvo é composto por pessoal técnico e gerencial de organizações de desenvolvimento de sistemas, sem requisitos de conhecimento de linguagens ou metodologias de propogamação especificos.

Objetivos de Aprendizado


 * 1) Entender modelagem de maeaças: quando fazê-la e quando não fazê-la
 * 2) Traduzir ameaças em riscos para a organização
 * 3) Divirta-se aprendendo conceitos complexos com exercícios e jogos interativos

Tópicos


 * 1) Introdução
 * 2) Por que fazer modelagem de ameaças?
 * 3) Modelagem de ameaças é adequado para você?
 * 4) Desafios
 * 5) Precursores
 * 6) Classificação de dados e modelagem de ameaças
 * 7) Mecanismos de segurança de aplicações web
 * 8) Benefícios da modelagem de ameaças
 * 9) Glossário de termos
 * 10) Agentes de ameaça
 * 11) OWASP Top 10 ataques comuns a aplicações
 * 12) O processo de modelagem de ameaças
 * 13) Árvores de ataques (attack trees)
 * 14) Frameworks de ameaças e riscos e.g., STRIDE and DREAD
 * 15) Truduzir de ameaças para riscos
 * 16) Modelagem de ameaças (exercícios hans-on)

O Instrutor

Manoranjan (Mano), Paul é o Consultor de Software Assurance para o (ISC)2. Sua experiência em Segurança da Informação e Software Assurance inclui projetar e desenvolver programas de segurança para complience-to-coding, segurança no SDLC, escrever código seguro, gestão de riscos, estratégia de segurança e treinamento e educação em conscientização de segurança. Ele fundou e serve como CEO e Presidente da Express Certifications. Ele também fundou SecuRisk Solutions, uma empresa especializada no desenvolvimento de produtos de segurança e consultoria.

Segurança em Arquitetura Orientada a Serviço
''' Treinamento em português. '''

Data e horário: 17 de Novembro (9 às 18 horas) Instrutores: Douglas Rodrigues, Julio Cesar Estrella e Nuno Manuel dos Santos Antunes

Resumo

Web services são a pedra angular de Arquiteturas Orientadas a Serviços (SOA). Como componentes críticos de negócios, Web Services devem apresentar alta segurança. No entanto, a implantação de Web Services seguros é uma tarefa complexa. De fato, diversos estudos mostram que um grande número de Web Services são implantados com falhas de segurança que vão desde vulnerabilidades de código (por exemplo, vulnerabilidades que permitem a injeção de código, incluindo SQL Injection e XPath Injection) até a utilização incorreta das normas e protocolos de segurança. O objetivo desse minicurso é o de apresentar de forma teórica e prática ferramentas que permitem a detecção de vulnerabilidades e mecanismos e protocolos de segurança contra ataques.

Público Alvo

O público alvo é composto por pessoal técnico e operacional de organizações de desenvolvimento de sistemas, com requisitos de conhecimento de linguagens ou metodologias de propogamação especificos em nível intermediário.

Objetivos de Aprendizado

O minicurso proposto contribui para agregar novas tendências tecnológicas. O tema é bastante interessante no tocante aos grandes desafios da pesquisa em computação, uma vez que se insere de forma natural dentro do desenvolvimento tecnológico de qualidade, englobando por sua vez, sistemas disponíveis, corretos, seguros, escaláveis, persistentes e ubíquos, além de notoriamente, observando-se as conferências da área, que SOA, Web Services e segurança constituem tema de crescente investigação na área de computação, pois é atual e de interesse da comunidade acadêmica, bem como de profissionais que atuam amplamente no mercado de trabalho. O interesse por SOA tem crescido nos últimos anos por se tratar de uma abordagem que ajuda os sistemas a permanecerem escaláveis e flexíveis enquanto crescem, e que também pode auxiliar a resolver a lacuna negócio/TI. Os estudantes e profissionais da área terão a oportunidade de compreender os princípios básicos de detecção de vulnerabilidade em nível de código e também a detecção de ataques por meio de protocolos e mecanismos. A idéia é que os participantes possam utilizar o breve conhecimento adquirido neste minicurso para o desenvolvimento de aplicações distribuídas usando Web Services seguros e obterem conhecimento necessário para diagnosticar e prevenir ataques a esse tipo de aplicação.

Tópicos


 * 1) PADRÕES E PROTOCOLOS DE SEGURANÇA PAR WEB SERVICES
 * 2) ATAQUES EM WEB SERVICES
 * 3) Ataques de Negação de Serviço (Denial of Service)
 * 4) Ataques de Força Bruta (Brute force)
 * 5) Ataques Spoofing
 * 6) Ataques de Inundação (Flooding)
 * 7) Ataques por Injeção
 * 8) AVALIANDO SEGURANÇA EM WEB SERVICES
 * 9) Estudo de campo sobre segurança em Web Services
 * 10) Análise “White-box”
 * 11) Teste “Black-box”
 * 12) Teste “Gray-box”
 * 13) Estudo de campo sobre a eficácia de ferramentas de avaliação de segurança

O Instrutor

Júlio Cesar Estrella - Cursou Mestrado em Ciência da Computação e Matemática Computacional, na área de Sistemas Distribuídos (Instituto de Ciências Matemáticas e de Computação ICMC / Universidade de São Paulo – USP). Durante o Mestrado, trabalho com simulação de redes de filas em um projeto relacionado ao desenvolvimento de técnicas de negociação em modelos de servidores web com diferenciação de serviços. Doutor em Ciência da Computação e Matemática Computacional (Instituto de Ciências Matemáticas e de Computação ICMC / Universidade de São Paulo – USP). O tema do projeto de doutorado versou sobre arquiteturas orientadas a serviços com suporte à QoS, bem como caracterização de cargas de trabalho para Web Services e Composição de Serviços também com suporte à Qualidade de Serviço. Atualmente é professor da Universidade Tecnológica Federal do Paraná (UTFPR - Campo Mourão)

Douglas Rodrigues - Mestrando em Ciências de Computação e Matemática Computacional pelo Instituto de Ciências Matemáticas e de Computação da Universidade de São Paulo - ICMC-USP/São Carlos. Bacharel em Ciência da Computação pelo Centro Universitário Eurípides de Marília - UNIVEM - Marília/SP. Atua principalmente nos seguintes temas: SOA, Web Services, avaliação de desempenho, criptografia e segurança.

Nuno Manuel dos Santos Antunes - frequentou, entre 2003 e 2007, a Licenciatura em Engenharia Informática no Departamento de Engenharia Informática da Universidade de Coimbra. Desde 2008 que exerce investigação científica no grupo de Software and Systems Engineering (SSE) do Centro de Informática e Sistemas da Universidade de Coimbra (CISUC), em tópicos relacionados com metodologias e ferramentas para o desenvolvimento de Web Services sem vulnerabilidades. Concluiu em 2009 o Mestrado em Engenharia Informática no Departamento de Engenharia Informática da Universidade de Coimbra, com a classificação final de Muito Bom. Em 2009 iniciou o seu Doutoramento em Ciências e Tecnologias da Informação. Publicou 5 artigos científicos em conferências com processo de revisão pelos pares rigoroso, incluindo artigos nas conferências mais prestigiadas das áreas de confiabilidade e serviços.

Revisões de Segurança de Sistemas ASP.NET nos modos "black box" e "white-box" usando a plataforma OWASP O2
''' Este treinamento será ministrado em português usando materiais em inglês. '''

Data e horário: 16 de Novembro (9 às 18 horas) Instrutor: Dinis Cruz

Resumo

Este é um treinamento hands-on sobre como usar a plataforma OWASP O2 para fazer revisões de caixa-preta (black-box) e caixa-branca (white-box) em aplicações web ASP.NET

O curso é destinado a consultores de segurança / colaboradores que são responsáveis por executar testes de penetração ou revisões de segurança de código. O curso vai mostrar exemplos práticos de como usar o OWASP O2 para encontrar, explorar e documentar vulnerabilidades de segurança.

Para os laboratórios do curso, uma série de testes e aplicações/frameworks do mundo real serão utilizados. A fim de dar aos alunos um ambiente de teste benigno que é fácil de reproduzir, a aplicação bancária (vulnerável-por-projeto) HacmeBank ASP.NET será usada durante todo o curso.

Tópicos


 * O que é a plataforma OWASP O2 e como utilizá-la:
 * Usando os testes de unidade do O2 para explorar e navegar na web
 * Usando os testes de unidade do O2 para explorar a web
 * Entendendo e usando as ferramentas de automação web do O2 para encontrar vulnerabilidades no HacmeBank (caix-preta)
 * Entendendo e usando o scanner AST .NET do O2 para encontrar vulnerabilidades no HacmeBank (caixa-branca)
 * Conectando os traces do código fonte com os exploits para criar uma visão unificada das vulnerabilidades
 * Criando 'testes de unidade direcionados a vulnerabilidades' para entregar aos desenvolvedores, testadores ou gerentes
 * Customizando e escrevendo novas APIs (para frameworks novos ou modificados)
 * Usando o O2 para consumir resultados de ferramenmtas de código aberto ou comerciais
 * Estudo de caso: Microsoft ASP.NET MVC
 * Estudo de caso: Microsoft Sharepoint

O Instrutor

Este curso será ministrado por Dinis Cruz, que é o líder do projeto OWASP O2 e já criou e entregou muitos cursos de segurança em .NET. Dinis é também um membro do Board do OWASP, além de ser reconhecido mundo afora como um especialista na área de segurança de software, principalmente de aplicações .NET.

Local dos treinamentos
Veja a aba Local.

Local
A conferência será em Campinas, SP, na Fundação CPQD.

Veja a localização no Google Maps

Como chegar

TBD

Inscrições online
O formulário de inscrição está disponível em https://creator.zoho.com/lucas.ferreira/appsec/.

Valores
Apenas a conferência (dias 18 e 19/11):


 * Antes de 16 de setembro: R$ 400,00
 * Antes de 16 de outubro: R$ 500,00
 * Antes de 12 de novembro: R$ 550,00
 * No local: R$ 600,00

As inscrições no local estarão sujeitas à disponibilidade de lugares.

Treinamentos


 * Um dia: R$ 450,00
 * Dois dias: R$ 900,00

Descontos


 * Membro do OWASP: R$ 100,00 (Nota: Este desconto é maior do que a taxa anual de USD 50.00. Confira aqui
 * Estudantes: R$ 100.00 (Nota: Será necessário apresentar comprovante de matrícula).
 * Descontos especiais para grupos: entre em contato conosco pelo email organizacao2010@appsecbrasil.org

Comitês
OWASP Global Conferences Committee Chair: Mark Bristow

Líder do Capítulo Brasileiro: Wagner Elias

Comissão organizadora do AppSec Brasil 2010 (organizacao2010 at appsecbrasil.org):


 * Conference General Chair: Lucas C. Ferreira
 * Tutorials Chair: Eduardo Camargo Neves
 * Tracks Chair: Luiz Otávio Duarte
 * Local Chair: Alexandre Melo Braga

Equipe

 * Alexandre Melo Braga
 * Eduardo Camargo Neves
 * Lucas C. Ferreira
 * Luiz Otávio Duarte
 * Wagner Elias
 * Eduardo Alves Nonato da Silva
 * Leonardo Buonsanti
 * Dinis Cruz
 * Paulo Coimbra

Comitê de Programa

 * Alexandre Braga
 * Carlos Serrao
 * Eduardo alves
 * Fernando Cima
 * Leonardo Buonsanti
 * Lucas Ferreira
 * Luiz Duarte
 * Nelson Uto
 * Rodrigo Rubira
 * Wagner Elias

Hospedagem
TBD

Twitter
124443335

Links
Blog: http://blog.appsecbrasil.org

Twitter: http://twitter.com/owaspappsecbr

Modelo de apresentações: [[Media:OWASP_Presentation_Template_BrazilAppSec2010.ppt]]

Notícias
Portal G1