AppSec Brasil 2009 (pt-br)

=Conferência Internacional de Segurança de Aplicações (AppSec Brasil 2009)=

A comunidade Comunidade TI-Controle e o Centro de Informática da Câmara dos Deputados apresentam a Conferência Internacional de Segurança de Aplicações, que será realizada com o apoio do OWASP (Open Web Application Security Project) em Brasília, capital do Brasil. A conferência consistirá de dois dias de treinamentos, seguidos de dois dias de plenárias em trilha única.



Datas
A Conferência ocorrerá do dia 27 ao 30 de outubro de 2009. Os dias 27 e 28 de outubro serão dedicados ao mini-cursos e os dias 29 e 30 terão as sessões plenárias.

Promoção
Esta conferência é promovida pela Comunidade TI-Controle e organizada pelo Centro de Informática da Câmara dos Deputados.

A Conferência tem o apoio do OWASP, Capítulo Brasil, como provedor de conteúdo (seleção de palestras e cursos e montagem da grade de horários).

A Conferência tem o apoio da Universidade de Brasília (UnB)

A Conferência é patrocinada por Conviso IT Security

Keynotes
Gary McGraw

CTO, Cigital



Título: O Modelo de Maturidade Building Security In (BSIMM)

Biografia: Gary McGraw é o CTO da Cigital, Inc., uma empresa de segurança e qualidade de software com sede em Washington, Estados Unidos. Ele é reconhecido mundialmente como uma autoridade em segurança de software e é autor de oito importantes livros sobre este tópico, incluindo: "Java Security", "Building Secure Software", "Exploiting software", "Software Security" e "Exploiting Online Games". Ele é também editor da série de livros sobre segurança de software na editora Addison-Wesley. Dr. McGraw também escreveu mais de 100 artigos científicos, escreve uma coluna mensal para o site informIT e é frequentemente citado na mídia. Além de servir como consultor estratégico para importantes empresas e executivos de TI, Gary faz parte dos Conselhos Administrativos das empresas Fortify Software e Raven White. Ele recebeu um PhD duplo em Ciência Cognitiva e Ciência da Computação pela Universidade de Indiana, onde ele faz parte do Conselho Consultivo da Escola de Informática. Ele também produz o podcast "Silver Bullet" para a revista IEEE Security & Privacy e produz o podcast Reality Check Security para o site CSO online.

Jason Li

Aspect Security

Título: Ágil e Seguro: É possível fazer os dois?

Co-autor: Jerry Hoff, Aspect Security

Biografias: Jason Li é engenheiro senior de segurança de aplicações na Aspect Security. Jason conduz revisões de arquiteturas de segurança, revisão de segurança em código de aplicações, testes de segurança e provê treinamentos de segurança em aplicações Web para diversas empresas do ramo de varejo, financeiro e governamentais. Ele também é ativamente envolvido na OWASP, apoiando do Comitê de Projetos Globais da OWASP e como co-autor do Projeto Antisamy da OWASP (versão Java). Jason obteve seu pós-mestrado em Ciências da Computação com concentração em Segurança da Informação pela Universidade Johns Hopkins. Ele obteve seu grau de Mestre em Ciências da Computação pela Universidade Cornell, onde obteve também sua graduação dupla, em Ciências da COmputação e Pesquisador de Operações.

Jerry Hoff é engenheiro senior de segurança de aplicações na Aspect Security. Jerry coordena e executa numerosas revisões de segurança em código de aplicações para clientes de diversas industrias. Jerry também fornece treinamentos para clientes e possui mais de 10 anos de experiência ensinando e desenvolvendo. Jerry também é envolvido com a OWASP e foi o líder do projeto AntiSamy .net. Ele possui mestrado em Ciências da Computação pela Universidade de Washington em St. Louis.

Dinis Cruz

OWASP Board

Título: A Definir

Biografia:

A definir.

Kuai Hinojosa

OWASP

Título: Implementando Aplicações Web Seguras Usando Recursos do OWASP

Biografia:

Kuai Hinojosa desenvolve e protege aplicações Web por mais de 12 anos. Anteriormente, ele trabalhou no setor bancário como administrador de segurança de base de dados para o quinto maior banco dos Estados Unidos, onde ele trabalhou em um pequeno time de desenvolvimento de aplicações para proteção dos ativos da empresa. Ele trabalha agora na Universidade de Nova Yorque como Especialista de Aplicações Web onde ele continua a empregar o desenvolvimento de aplicações Web e a experiência em segurança de aplicações para proteger os recursos da universidade. Em seu tempo livre, Kuai se voluntaria para catequisar sermões de segurança de aplicações and liderar o capítulo de Mineapolis da OWASP. Kuai é membro do Comitê Global de Edução da OWASP.

Agenda
Programa da Conferência - Dia 1 - 29 de outubro de 2009 

Programa da Conferência - Dia 2 - 30 de outubro de 2009

Resumos das Palestras
O Modelo de Maturidade Building Security In (BSIMM)

Gary McGraw, Cigital

Como uma disciplina, segurança de software tem feito grande progresso na última década. Existem hoje pelo menos 34 grandes iniciativas de segurança de software em empresas, incluindo as empresas de serviços financeiros globais, os fornecedores de software independentes, organizações de defesa, e outros setores. Em 2008, Brian Chess, Sammy Migues e eu entrevistamos os executivos usando nove iniciativas baseadas nas doze práticas do Framework de Segurança de Software como o nosso guia. Essas empresas, entre as nove que gentilmente concordaram em ser identificadas, incluem: Adobe, The Depository Trust and Clearing Corporation (DTCC), EMC, Google, Microsoft, QUALCOMM, e Wells Fargo. Os resultados obtidos, traçados com base em programas reais em diferentes níveis de maturidade, foram utilizados para para orientar a construção do Construindo Segurança no Modelo de Maturidade (em inglês, Building Security In Maturity Model - BSIMM). Esta palestra irá descrever o modelo de maturidade baseado em observação, aproveitando exemplos reais de muitos programas de segurança de software. Um modelo de maturidade é adequado pois ao melhorar a segurança do software quase sempre significa mudar a forma como uma organização trabalha --- pessoas, processos, automação são todos necessários. Embora nem todas as organizações necessitam alcançar os mesmos objetivos de segurança, todas iniciativas de segurança de software em larga escala compartilham idéias e abordagens comuns. Se você acreditar na Cigital Touchpoints, no SDL da Microsoft, ou OWASP CLASP, há muito a aprender com experiências práticas. Utilize o BSIMM como uma referência para determinar onde você está e que tipo de plano de segurança do software irá funcionar melhor para você.

Ágil e Seguro: É possível fazer os dois?

Jason Li and Jerry Hoff, Aspect Security

As metodologias ágeis estão tomando o mundo do desenvolvimento de software como uma tempestade, porém a segurança está se adaptadando vagarosamente. O que nós podemos aprender do movimento ágil? É possível obter segurança e permanecer ágil? Jason e Jerry irão compartilhar as experiências de trabalho da Aspect Security com times ágeis para garntir segurança e economizar dinheiro. Eles irão comparar e contrastar o modelo tradicional de cascata com os processos ágeis e mostrar como nós podemos alcançar confiabilidade e segurança enquanto os principios ágeis são mantidos.

Implementando Aplicações Web Seguras Usando Recursos do OWASP

Kuai Hinojosa, NY University e OWASP

Universidade são chaves para tornar a segurança de aplicação visível e a necessidade de educar desenvolvedores de software quanto a importância da segurança de aplicações ser um aspecto primordial no desenvolvimento de software nunca foi tão importante. Nesta apresentação eu irei mostrar como os recursos da OWASP podem ser utilizados por universidades para desenvolver, testar e implementar aplicações Web seguras. Eu irei discutir desafios que universidades atualmente encontram para integrar as melhores práticas de segurança de aplicações e descrever como as ferramentas e recursos da OWASP são utilizados na Universidade de Nova York para testar as falhas mais comuns em aplicações Web. Eu irei introduzir projetos como a API de Segurança Corporativa da OWASP pode ser utilizado para mitigar as falhas mais comuns em aplicações Web e compartilhar as iniciativas que o Comitê Global de Educação está desenvolvendo. Se você estiver interessado em proteger aplicações Web e como apoiar o Comitê Global de Educação da OWASP, você não pode perder esta apresentação!

Apresentação do projeto OWASP

Dinis Cruz, OWASP

Esta palestra apresenta o que é e como funciona o projeto OWASP – Open Web Application Security Project, cujo objetivo é o desenvolvimento coletivo e aberto de soluções e documentos que permitam o desenvolvimento de sistema mais seguros.

Projetos da OWASP que podem ser utilizados livremente nas organizações

Dinis Cruz, OWASP

Esta palestra dará um apanhado geral dos projetos desenvolvidos pelo OWASP que podem ser utilizados livremente em todas as organizações. Estes projetos envolvem desde manuais e guias até ferramentas de software. A ideia e mostrar à audiência a ampla gama de materiais disponíveis e as possibilidade de colaboração com a comunidade através do projeto OWASP.

As Camadas Lógica e Semântica da Segurança de Aplicações Web

Thomas Schreiber, SecureNet

Muitos problemas que ocorrem em aplicações web decorrem da forma como a lógica de negócios é mapeada em código. Esta apresentação irá mostrar como ataques reais podem decorrer de falhas nas camadas lógica e semântica das aplicações. A apresentação também mostrará como evitar estas armadilhas.

O Uso de Web Application Firewalls (WAF) e Sistemas de Database Activity Monitoring (DAM) Para Melhorar a Segurança de Código

Brian Contos, Imperva

Hoje em dia, os ataques à infraestrutura de TI estão se concentrando nos ativos que armazenam e processam dados: aplicações e base de dados. Em resposta, as organizações estão adotando novas medidas de segurança de aplicações e dados, que permitem monitorar e proteger contra ataques desta natureza. Esta apresentação irá introduzir duas destas tecnologias, os Web Application firewalls (WAF) e os sistemas de Database Activity Monitoring (DAM).

ROI: Otimize os Gastos com Segurança

Matt Tesauro

Esta palestra apresentará como alguns dos projetos desenvolvidos no âmbito do OWASP podem melhorar a segurança das organizações de forma econômica. Alguns dos produtos que podem ser usados gratuitamente pelas organizações são o OWASP Top Ten, os guias de testes e desenvolvimento de aplicações seguras. Um estudo de caso será apresentado em que a economia chegou a US$ 400.000,00 por ano.

O Modelo de Maturidade “Software Assurance Maturity Model (SAMM)”

Pravir Chandra, Fortify

O SAMM – Software Assurance Maturity Model é um framework que permite a inclusão de aspectos de segurança em uma organização de desenvolvimento de software. Este modelo permite que as organizações verifiquem sua maturidade com relação ao desenvolvimento seguro de aplicações e criem scorecards para medir seu progresso. Esta palestra apresentará o framework e mostrará o caminho recomendado para que as organizações implantem as práticas de segurança no desenvolvimento de sistemas.

Técnicas Automáticas para “SQL Ownage”

Sebastian Cufre, Core Security

Esta palestra descreve formas de melhorar os processos de verificação de vulnerabilidades de SQL Injection provendo formas de descartar os falsos-positivos e confirmar as vulnerabilidades exploráveis.

Praticas e ferramentas fundamentais para o desenvolvimento de software seguro

Cássio Goldschmidt, Symantec

Implementar um programa de segurança para todo o ciclo de vida de aplicações pode ser uma tarefa árdua e custosa. Por isso, no desenvolvimento dessa proposta será demonstrado como é possível atenuar o custo desse empreendimento, usando recursos de ótima qualidade disponíveis na Internet e estudando quais as práticas consideradas fundamentais pelas empresas integrantes do SAFECode (EMC, Juniper, Microsoft, Nokia, SAP, Symantec).

Abordagem Preventiva para Teste de Segurança em Aplicações Web

Luiz Otávio Duarte, Ferrucio de Franco Rosa e Walcir M. Cardoso Jr., CTI/MCT

O objetivo da palestra é apresentar a abordagem utilizada pelo CTI/MCT (Centro de Tecnologia da Informação Renato Archer / Ministério da Ciência e Tecnologia) para testes de segurança em aplicações web. Primeiramente, será feita uma introdução, incluindo conceitos importantes, motivação, dados estatísticos e vulnerabilidades mais críticas. Posteriormente, serão apresentadas técnicas para teste de segurança em software. Com a audiência situada com relação aos conceitos e técnicas base, será apresentada a abordagem utilizada pela instituição para teste de segurança em aplicações web, tais como inspeção de código fonte, expressões regulares e técnicas de detecção de vulnerabilidades.

ModSecurity, Firewall de Aplicação Web Open Source

Klaubert Herr da Silveira

Com a crescente complexidade e importância das aplicações web, prazos curtos para desenvolvimento, novas técnicas de ataque, regulações, busca por melhores práticas e a falta de atenção e/ou foco do desenvolvedor com a segurança, torna-se necessário adicionar uma nova camada de segurança para aplicações web, os "firewall de aplicações web" ou WAF's. Esta apresentação introduzirá os conceitos de WAF, e em especial o ModSecurity, Firewall OpenSource para Aplicações Web, uma poderosa e complexa ferramenta desenhada para entender e proteger as aplicações web nos seus mais variados tipos. Serão apresentadas suas funcionalidades, bem como ele pode ajudar no dia a dia de um site web, seja na monitoração, proteção ou mesmo na depuração das aplicações web.

Programação Segura utilizando Análise Estática

Philippe Sevestre, LeadComm

Criar um código que seja seguro requer mais do que apenas boas intenções. Os programadores precisam saber como fazer com que seu código seja seguro em um número quase infinito de cenários e configurações. A análise estática do código dá a seus usuários a habilidade de revisar o produto de seu trabalho com um “pente fino”, revelando as falhas que conduzem diretamente a vulnerabilidades. Esta palestra contextualiza o problema de segurança de software e mostra como a análise estática é parte da solução do mesmo.

Mini-Cursos
Gestão de Riscos de Segurança Aplicada a Web Services

José Eduardo Malta de Sá Brandão, IPEA

Data: 27/10 Período: manhã

O objetivo deste minicurso é apresentar a disciplina de gestão de riscos de segurança associada a web Services. O enfoque do curso visa elucidar aspectos conceituais e sistemáticos nestas metodologias, exemplificado em um estudo de caso que visa reforçar a utilidade e necessidade do uso destas metodologias para o entendimento e o desenvolvimento de web services. O curso deverá fornecer aos alunos base para desenvolverem seus próprios projetos de gestão de riscos. As apresentações deverão discorres sobre conceitos, descrição de modelos e na comparação dos principais padrões relacionados à gestão de riscos na segurança.

'''Segurança  Web:  Técnicas  para  Programação  Segura  de  Aplicações'''

André Ricardo Abed Grégio e Vitor Monte Afonso, CTI/MCT, Paulo Licio de Geus, IC/UNICAMP

Data: 28/10 Período: tarde

O treinamento visa apresentar os princípios e técnicas de programação segura, principalmente programação de aplicações Web, abordando conceitos fundamentais da área, detalhando as vulnerabilidades possíveis de serem exploradas e com foco nos métodos de mitigação destas falhas. São abordados exemplos práticos de como corrigir vulnerabilidades baseadas no OWASP top 10 em diferentes linguagens de programação, com trechos de código vulnerável de aplicações Web retirados de revisões de código realizadas pelos autores. São apresentadas também algumas ferramentas para detecção de ataques e testes de vulnerabilidades em aplicações Web.

Segurança Computacional no Desenvolvimento de Web Services

Júlio Cesar Estrella et al, ICMC/USP

Data: 28/10 Período: integral (manhã e tarde)

Este minicurso apresenta o desenvolvimento de aplicações distribuídas utilizando o conceito de SOA levando em consideração os aspectos de segurança computacional. Para o desenvolvimento das aplicações clientes e servidoras serão considerados o uso da engine Apache Axis2. São abordados os componentes básicos do Axis2, os tipos e modelos de invocação de Web Services bem como suas principais características. Dois padrões de segurança para a construção de Web Services são abordadas no contexto da engine Apache Axis2: WS-Security e SAML. A metodologia utilizada para este minicurso envolve a utilização de tópicos expositivos e de exercícios práticos, abordando os conceitos fundamentais da engine Axis2, e a construção de aplicações reais com foco em segurança.

Tecnologias de Segurança em Web Services

Eduardo Takeo Ueda e Wilson Vicente Ruggiero, Poli/USP

Data: 28/10 Período: manhã

Devido a sua característica de integração e por fazer uso de padrões abertos, os web services se tornaram uma área de grande interesse para acadêmicos e a indústria nos últimos anos. Inicialmente, pretendemos introduzir aos participantes os conceitos básicos da arquitetura orientada a serviços, com o intuito do treinamento ser auto-suficiente. Posteriormente serão apresentados os principais padrões e especificações de segurança que estão sendo desenvolvidos e devem ser adotados em web services. Por fim, o treinamento culmina com a exposição e caracterização de desafios atuais em segurança de web services.

Hands on Web Application Testing using the OWASP Testing Guide.

Matt Tesauro, OWASP

Este treinamento será ministrado em inglês sem tradução simultânea.

''' Atenção: Este treinamento requer um notebook por aluno para a parte prática. Cada aluno deverá trazer seu próprio notebook. '''

Data: 27 e 28/10 (2 dias) Período: integral (manhã e tarde)

O treinamento irá cobrir as áreas críticas do teste de aplicações Web utilizando o Guia de Testes (Testing Guide) da OWASP v3, como framework de testes de aplicação, e o OWASP Live CD, com as ferramentas para realizar os testes. Uma versão customizada do OWASP Live CD irá ser criada para o treinamento. Ela irá incluir um ambiente controlado de testes oferecendo aplicações vulneráveis de forma que tanto as ferramentas e as aplicações para testar as ferramentas serão incluídas.

Local
Local das plenárias



O evento será na Câmara dos Deputados em Brasília, DF, Brasil no endereço: Auditório Nereu Ramos, Câmara dos Deputados - Anexo II, Praça dos Três Poderes.

Veja a localização no Google Maps

Como chegar ao local da Conferência

A definir

Local dos Mini-cursos

Os mini-cursos ocorrerão no Centro de Formação, Treinamento e Aperfeiçoamento da Câmara dos Deputados, localizado na via N3, Projeção L, Setor de Garagens Ministeriais Norte, Complexo Avançado da Câmara dos Deputados, Bloco B. Veja a localização no mapa.

Como chegar ao local dos Mini-cursos

Estamos verificando a possibilidade de haver transporte de algum ponto da Esplanada dos Ministérios até o local dos mini-cursos. Assim que tivermos mais informações, divulgaremos nesta página.

Para ir de táxi, mostre o mapa acima para o motorista. É pouco provável que o motorista consiga chegar apenas com o endereço do local.

Não aconselhamos ir de carro, pois há séria dificuldade em encontrar vagas para estacionar na região do Congresso e Ministérios.

Inscrições
A Conferência será gratuita, mas será necessário inscrever-se previamente.

A página com o formulário de inscrições foi publicada aqui

Organização
Comitês

OWASP Conferences Chair: Dave Wichers - Aspect Security - dave.wichers 'at' owasp.org

2009 AppSec Brasil - Comitê de Programa (appsec.brasil@camara.gov.br):
 * Coordenador Geral: Lucas C. Ferreira (lucas.ferreira at owasp.org)
 * Coordenador de Tutoriais: Eduardo V. C. Neves (eduardo.neves at owasp.org)
 * Coordenador do Programa: Wagner Elias (wagner.elias at owasp.org)

Equipe Organizadora


 * Cassio Goldschmidt (cassio 'at' owasp.org)
 * Kuai Hinojosa (kuai.hinojosa 'at' owasp.org)
 * Leonardo Cavallari - (leo.cavallari 'at' owasp.org)
 * Thiago Lechuga (thiagoalz 'at' gmail.com)
 * Dinis Cruz (dinis.cruz 'at' owasp.org)

Links
Página do evento no LinkedIn: http://events.linkedin.com/OWASP-AppSec-Brasil/pub/65160

Perguntas Frequentes
Quem está promovendo a conferência?

Esta conferência é promovida e organizada pela Comunidade TI-Controle e a Câmara dos Deputados, sendo os conteúdos (apresentações, palestras, cursos, etc) selecionados pelo Capítulo Brasil da OWASP.

Quanto irá custar?

Nada. Graças ao seu patrocinador, a participação da conferência será gratuita. No entanto, devido ao número limitados de participantes, recomenda-se registrar antecipadamente.

Chamada de Trabalhos

O que é a OWASP (Open Web Application Security Project)?

A OWASP (Projeto Aberto de Segurança de Aplicações Web, em português) é uma comunidade mundial aberta e livre focada em melhorar a segurança de aplicações. Nossa missão é tornar a segurança de aplicações visível, para que pessoas e organizações possam tomar decisões informadas sobre os reais riscos da segurança de aplicações. Todo mundo é livre para participar na OWASP e todo nosso material é disponível sob um licença de software livre e aberta. A Fundação OWASP é uma organização sem fins lucrativos que garante a constante disponibilidade e suporte para nosso trabalho com seu suporte.

Quantas sessões haverão?

Veja a agenda na página principal da conferência.

Quais são os prazos para submissão?

O prazo para submissão é 11 de Julho, sendo que a versão final dos trabalhos selecionados deve ser enviado até 15 de setembro de 2009.

Quem poderá submeter trabalhos?

Autores principais podem submeter seus trabalhos para avaliação. Representantes de terceiros, como empresas de relações públicas ou representantes de palestrantes, NÃO DEVEM submeter trabalhos em nome de um potencial palestrante.

Por que submissões de trabalhos por Representantes, como empresas de RP, não são permitidos?

Devido aos direitos autorais e responsabilidade com problemas de propriedade intelectual, bem como a necessidade da OWASP ter contato direto com os potenciais apresentadores para fornecer detalhes e providenciar os materiais, nós requeremos que apenas os autores principais submetam suas apresentações. Representantes de terceiros, como empresas de relações públicas ou representantes de palestrantes, NÃO DEVEM submeter trabalhos em nome de um potencial palestrante.

Existe alguma restrição no conteúdo das apresentações?

Sim, todas as apresentações devem respeitar as regras definidas no Acordo de Palestrantes da OWASP. Basicamente, as apresentações não devem possuir qualquer conteúdo promocional ou faça referência a marcas e produtos.

Quanto tempo eu terei que esperar antes de ser notificado se meu trabalho foi aceito ou negado?

Os autores serão notificados do resultado (aceito ou negado) em 7 de Agosto de 2009.

Existe algum honorário para os palestrantes?

Não. A OWASP é comprometida em tornar sua conferência para a maior audiência possível. Neste sentido, a OWASP manterá a entrada gratuita para a AppSec Brasil 2009 de forma a tornar a conferência acessível. Por conta disto, nós não somos capazes de oferecer gratificações mas recebemos nossos palestrantes como convidados para a conferência onde eles poderão interagir com outros profissionais de segurança. Nós iremos oferecer hospedagem e passagem aérea para um apresentador de cada tarabalho selecionado.

'''Eu fui aceito. Quais são os materiais que eu preciso depositar e quais são os prazos?'''

A lista a seguir apresenta os materiais que são requeridos para cada apresentação aceita. O não cumprimento na submissão desses materiais no prazo previamente determinado acarretará no cancelamento da aprovação do trabalho.
 * Acordo de Palestrante (15 de Julho de 2009)
 * Apresentação no formato PowerPoint conforme http://www.owasp.org/images/5/54/Presentation_template.ppt OWASP Template] (15 de Setembro de 2009)
 * Bibliografia detalhada de recursos, co-autores, etc (15 de Setembro de 2009)
 * Opcional: Artigo para inclusão no CD da conferência (15 de Setembro de 2009)

Eu preciso submeter um artigo?

Não. Nós certamente apreciamos todo artigo que possa ser incluído no website e CD da conferência, mas isto não é orbigatório. Se você tem um artigo escrito para acompanhar sua apresentação, por favor envie-nos junto com sua submissão. Submissões com artigos anexados recebrão considerações adicionais. '''O que acontece caso eu tenha um co-autor que não está apresentando. Como eu referencio esta pessoa??'''

Todos os co-autores e trabalhos utilizados devem ser citados na bibliografia detalhada que será publicada no CD da conferência.

'''Eu fui aceito e gostaria de adicionar um co-apresentador. Eu ainda posso fazer isso?'''

Não. Co-apresentadores devem ser adicionados no momento em que a apresentação for submetida. Eles podem participar da conferência e apresentar, caso se registrem como qualquer outro participante.

'''Minha empresa de RP/amigos/família/amigos de trabalho gostariam de prestigiar minha apresentação. A presença deles será permitida gratuitamente??'''

Sim, mas eles precisam se registrar pelo site como todo outro participante.

Eu tenho outras dúvidas...

Envie um e-mail para appsec.brasil@camara.gov.br a respeito deste evento.