AppSec Brasil 2010 (pt-br)



The English version is here

= OWASP AppSec Brasil 2010 =

A segunda edição da versão brasileira da série de conferências mais importante da OWASP ocorrerá em Campinas, SP. A conferência terá dois dias de treinamentos, seguidos de dois dias de conferência em trilha única.

Datas Importantes
A Conferência ocorrerá entre 16 e 19 de novembro de 2010. Os primeiros dois dias serão dedicados aos treinamentos. As plenárias ocorrerão em 18 e 19 de novembro de 2010.

Sobre a Conferência
Dando prosseguimento ao sucesso da primeira AppSec Brasil, que ocorreu em Brasília em 2009, o Capítulo brasileiro do OWASP irá promover a segunda edição em 2010, na cidade de Campinas, a cerca de 90 km de São Paulo

Campinas é a terceira maior cidade do estado de São Paulo (e a maior fora da área metropolitana da Capital) e é um importante polo econômico, abrigando universidades e centros de pesquisa de renome internacional. A cidade também concentra muitas indústrias de alta tecnologia, incluindo multi-nacionais dos ramos de eletrônicos, telecomunicações e quimicos.

Este ano, esperamos reunir um número expressivo de profissionais e pesquisadores brasileiros e latino-americanos para compartilharem informações sobre o estado-da-arte da segurança de aplicações.

Patrocínio
Estamos atualmente buscado patrocinadores para a edição 2010 da AppSec Brasil. Veja mais detalhes sobre as [[Media:OWASP_AppSec_Brasil_2010-Oportunidade_de_Patroc%C3%ADnio.pdf|oportunidades de patrocínio]].

Se estiver interessado em patrocinar o AppSec Brasil 2010, por favor entre em contato com a equipe organizadora da conferência pelo email organizacao2010@appsecbrasil.org.

Robert 'Rsnake' Hansen
SecTheory

Title: TBD.

Bio: Robert Hansen, também conhecido como RSnake, é o fundador e CEO da empresa SecTheory. Trabalhou para empresas como Digital Island, Exodus Communications e Cable & Wireless ocupando diversos cargos desde Arquiteto de Segurança Sênior e eventualmente como gerente de produtos de diversos serviços da linha de serviços gerenciados de segurança. Também trabalhou no eBay como Gerente Global Sênior para Confiança e Segurança, focando em anti-phishing, anti-malware de DHTML e estratégias de anti-vírus. Posteriormente ele trabalhou como Diretor de Gerenciamento de Produtos para o site Realtor.com. Robert é membro do conselho consultivo para o Grupo Intrepidus, e anteriormente era membro do conselho consultivo técnico da ClickForensics e atualmente contribui para a estratégia de segurança de diversas companhias startup.

O Sr. Hansen escreveu o livro Detecting Malice, publica conteúdo para a O'Reilly e é co-autor do livro XSS Exploits da editora Syngress. Ele é membro do grupo do NIST.gov para Métricas de Garantia de Software e Avaliação de Ferramentas com foco em scanners de segurança de aplicações e membro do grupo de Critérios de Avaliação de Scanners para Segurança de Aplicações (WASC-WASSEC). Passou instruções ao Departamento de Defesa no Pentágono e é palestrante em conferências como SourceBoston, Secure360, GFIRST/US-CERT, CSI, Toorcon, APWG, ISSA, TRISC, conferências mundias da OWASP/WASC, SANS, Microsoft Bluehat, Blackhat, DefCon, SecTor, BSides, Networld+Interop e foi um keynote speaker na Conferência de CyberSegurança de Nova York, NITES e OWASP AppSec Asia. O Sr. Hansens é um membro da Ingragard, West Austin Rotary, WASC, IACSP, APWG, contribui para o guia OWASP 2.0 e está no Comitê de Conexões da OWASP.

Robert também mantém o site http://ha.ckers.org onde discute sobre segurança de aplicações web e provê muitas informações úteis que podem ser usadas contra ataques de aplicações web.

Jeremiah Grossman
WhiteHat Security

Título: A definir.

Bio: Jeremiah Grossman, fundador e CTO da WhiteHat Security, é um especialista em segurança web. É co-fundador do Web Application Security Consortium (WASC), foi escolhido pela InfoWorld um dos Top 25 CTOs em 2007 e é frequentemente citado em publicações técnicas ou de negócios. Publicou dezenas de artigos, foi o descobridor de várias técnicas avançadas de ataque e defesa e é co-autor do livro "XSS Attacks: Cross Site Scripting Exploits and Defense." Grossman é também um blogueiro influente que oferece idéias e encoraja um dálogo franco sobre pesquisas e tedências da segurança na web. Antes da WhiteHat, Grossman foi um "information security officer" no Yahoo!

Samy Kamkar
Título: How I Met Your Girlfriend: A descoberta e execução de classes inteiramente novas de ataques na Web, a fim de encontrar sua namorada.

Resumo: Esta apresentação inclui ataques divertidos e recém-descobertos, incluindo a previsão de sessão e números aleatórios em PHP (adivinhar cookies de sessão PHP com precisão), browser protocol confusion (transformando um browser em um servidor SMTP), penetração em firewall e NAT via Javascript (transformar o seu roteador contra você), sequestro remoto do Google Maps no iPhone (invasão do iPhone combinado com man-in-the-middle em HTTP), extração de informações de geolocalização extremamente precisa de um navegador da Web (sem usar IP geolocation), e muito mais.

Biografia: Samy Kamkar é mais conhecido pelo worm Samy, o primeiro worm XSS, que infectou mais de um milhão de usuários no MySpace, em menos de 24 horas. É co-fundador da Fonality, Inc., uma empresa de PBX IP, Samy anteriormente liderou o desenvolvimento do software de todos os servidor de nomes de domínio (top-level domains) e sistemas para a Global Domains International (.ws).

Nos últimos 10 anos, Samy tem-se centrado no desenvolvimento de algoritmos evolutivos e genéticos, desenvolvimento de software para voz-sobre-IP, segurança automatizada e pesquisa de vulnerabilidades de segurança de rede, engenharia reversa, e jogos em rede. Quando não está amarrado por trás da Matrix, Samy está envolvido em projetos de serviços da comunidade local.

Mano Paul
Título: TBD.

Biografia: Manoranjan (Mano), Paul é o Consultor de Software Assurance para o (ISC)2. Sua experiência em Segurança da Informação e Software Assurance inclui projetar e desenvolver programas de segurança para complience-to-coding, segurança no SDLC, escrever código seguro, gestão de riscos, estratégia de segurança e treinamento e educação em conscientização de segurança. Ele fundou e serve como CEO e Presidente da Express Certifications. Ele também fundou SecuRisk Solutions, uma empresa especializada no desenvolvimento de produtos de segurança e consultoria.

Palestras
As palestras abaixo foram aceitas para apresentação no AppSec Brasil 2010. No descritivo de cada palestra consta

Cassio Goldschmidt
Symantec

Título: Responsibility for the Harm and Risk of Software Security Flaws

Resumo: Who is responsible for the harm and risk of security flaws? The advent of worldwide networks such as the internet made software security (or the lack of software security) became a problem of international proportions. There are no mathematical/statistical risk models available today to assess networked systems with interdependent failures. Without this tool, decision-makers are bound to overinvest in activities that don’t generate the desired return on investment or under invest on mitigations, risking dreadful consequences. Experience suggests that no party is solely responsible for the harm and risk of software security flaws but a model of partial responsibility can only emerge once the duties and motivations of all parties are examine and understood.

State of the art practices in software development won’t guarantee products free of flaws. The infinite principles of mathematics are not properly implemented in modern computer hardware without having to truncate numbers and calculations. Many of the most common operating systems, network protocols and programming languages used today were first conceived without the basic principles of security in mind. Compromises are made to maintain compatibility of newer versions of these systems with previous versions. Evolving software inherits all flaws and risks that are present in this layered and interdependent solution. Lastly, there are no formal ways to prove software correctness using neither mathematics nor definitive authority to assert the absence of vulnerabilities. The slightest coding error can lead to a fatal flaw. Without a doubt, vulnerabilities in software applications will continue to be part of our daily lives for years to come.

Decisions made by adopters such as whether to install a patch, upgrade a system or employed insecure configurations create externalities that have implications on the security of other systems. Proper cyber hygiene and education are vital to stop the proliferation of computer worms, viruses and botnets. Furthermore, end users, corporations and large governments directly influence software vendors’ decisions to invest on security by voting with their money every time software is purchased or pirated.

Security researchers largely influence the overall state of software security depending on the approach taken to disclose findings. While many believe full disclosure practices helped the software industry to advance security in the past, several of the most devastating computer worms were created by borrowing from information detailed by researcher’s full disclosure. Both incentives and penalties were created for security researchers: a number of stories of vendors suing security researchers are available in the press. Some countries enacted laws banning the use and development of “hacking tools”. At the same time, companies such as iDefense promoted the creation of a market for security vulnerabilities providing rewards that are larger than a year’s worth of salary for a software practitioner in countries such as China and India.

Effective policy and standards can serve as leverage to fix the problem either by providing incentives or penalties. Attempts such PCI created a perverse incentive that diverted decision makers’ goals to compliance instead of security. Stiff mandates and ineffective laws have been observed internationally. Given the fast pace of the industry, laws to combat software vulnerabilities may become obsolete before they are enacted. Alternatively, the government can use its own buying power to encourage adoption of good security standards. One example of this is the Federal Desktop Core Configuration (FDCC).

Biografia: Cassio Goldschmidt is senior manager of the product security team under the Office of the CTO at Symantec Corporation. In this role he leads efforts across the company to ensure secure development of software products. His responsibilities include managing Symantec’s internal secure software development process, training, threat modeling, penetration testing and vulnerability manegement. Cassio’s background includes over 14 years of technical and managerial experience in the software industry. During the eight years he has been with Symantec, he has helped to architect, design and develop several top selling product releases, conducted numerous security classes, and coordinated various penetration tests. Cassio is also known for leading the OWASP chapter in Los Angeles and is a frequent speaker at security conferences worldwide.

Cassio represents Symantec on the SAFECode technical committee and (ISC)2 in the development of the CSSLP certification. He holds a bachelor degree in computer science from Pontificia Universidade Catolica do Rio Grande Do Sul, a masters degree in software engineering from Santa Clara University, and a masters of business administration from the University of Southern California.

Status: Confirmada

Noa Bar-Yosef
Imperva

Título: Business Logic Attacks – BATs and BLBs

Demais autores: Amichai Shulman, Rob Rachwald

Resumo: Cyber attacks are being committed more often by professionals, and are increasingly driven by financial motives. Researchers have discovered the increasing popularity of a certain class of attacks that target business logic. Business logic attacks are a set of legal application transactions that are used to carry out a malicious operation that is not part of normal business practices. For example, brute forcing coupon codes in an ecommerce application to receive multiple discounts. This presentation will provide a quick introduction to business logic attacks, their unique characteristics and the motivation behind their uptick. The session will suggest a classification method for these attacks from which attendees can draw a set of required mitigation capabilities. We will discuss capabilities required for detecting automated interaction with the application, different types of repetitions, flow tampering and even compromised credentials. We will also contemplate on the usage of mitigation techniques such as Captcha, introducing delays and more. Concluding this session we will bring up the claim that all these capabilities can be introduced in the form of a "virtual patch" using a web application firewall, rather than being exclusively fixed in application code.

Biografia: Noa Bar-Yosef is currently a sr. security strategist at Imperva. Previously, she held the position of a senior security researcher with the Imperva Application Defense Center. She conducted research on database and Web application vulnerabilities. Prior to Imperva, she has held TA positions in courses on programming and network security at Tel Aviv University and Open University. She has also been a software engineer with educational software vendor Sunburst Technology. Bar-Yosef holds a Masters of Science degree (specializing in information security) from Tel-Aviv University, School of Computer Science and a Bachelors of Science degree from The Hebrew University, School of Computer Science. During her work in Imperva Noa has discovered multiple vulnerabilities in various commercial application and worked with software vendors on their resolutions. She also presented at a number of conferences including Infosec Canada (2008), OWASP BeNeLux (2009)

Status: A confirmar

Gabriel Quadros
Conviso IT Security

Título: Taint Analysis em Código JavaScript para Detecção de Vulnerabilidades em Aplicações Web

Resumo: As aplicações Web modernas fazem uso cada vez maior de código client-side, com código JavaScript sendo o mais presente na maioria delas. Várias vulnerabilidades são introduzidas com o uso descuidado dessa linguagem. As ferramentas de análise disponíveis publicamente geralmente se baseiam em pattern matching para encontrar possíveis vulnerabilidades, mas essa não é uma estratégia eficiente para analisar grande quantidade de código. Portanto, existe a necessidade do desenvolvimento de ferramentas capazes de realizar análises mais avançacas, como Taint Analysis e Execução Simbólica. Este artigo discute várias abordagens para a análise dinâmica de código JavaScript e apresenta a ferramenta JsInstrumentator, que está sendo desenvolvida pelo Conviso Security Labs.

Biografia: Gabriel Quadros começou a estudar segurança da informação em 2003, com interesse principal em engenharia reversa, pesquisa de vulnerabilidades e desenvolvimento de exploits.

Atualmente cursa o último ano do Bacharelado em Ciência da Computação na Universidade Estadual do Sudoeste da Bahia - UESB.

Em abril de 2010, começou suas atividades como consultor de segurança na Conviso IT Security.

Status: Confirmada

Tony Rodrigues
Provider IT Business Solutions

Título: Tony’s Top 10 Application Artifacts: A Computer Forensics Approach to OWASP Top 10

Resumo: Computação Forense para Aplicações tem muitas peculiaridades em relação a outras disciplinas forenses. Além de requerer técnicas diferenciadas, os vestígios relacionados são também bastante específicos. Essa apresentação trata dos dez principais vestígios relacionados com perícias e investigações de aplicações e seus ambientes, abordando-os de maneira paralela ao OWASP Top 10.

Biografia: Tony Rodrigues é um profissional certificado CISSP, CFCP e Security+ com mais de 20 anos de experiência em TI e 8 anos em Gestão de Segurança de Informações. Já liderou várias investigações,	perícias e pesquisas sobre Computação Forense. Tony é consultor em Segurança de Informações e palestrou em importantes conferencias internacionais (CNASI, H2HC,YSTS). É autor/criador do blog forcomp.blogspot.com, sobre Resposta a Incidentes e Forense Computacional e também colabora com artigos no blog de Computer Forensics da SANS.

Status: Confirmada

Chandrasekar Umapathy
Symphony Services Ltd

Título: Web 2.0 Testing

Resumo: Web 2.0 can be defined as the evolving trend of www technologies and web design that aim to enhance creativity, communications, secure information sharing, collaboration and functionality of the web1. 0. In contrast to the static nature of Web 1.0, Web 2.0 systems rely heavily upon user generated content. In fact, Web 2.0 has been described as the “participatory Web.Security threats associated with them are characteristically considered Web 2.0 security threats.

The Presentation will focus on Web 2.0 attacks and how to gear up to test any 2.0 application.

Biografia: Chandrasekar has 10+ years of experience in Information Technology, and 8 years in Information Security. He is a PHD in Application Security, and is currently doing his research in Digital Forensics Investigation. He also holds MCA and MBA degrees. He has also achieved the following international certifications: GCFI,CBCP,CSSLP, LPT, CEH, CHFI, ECSA, ENSA, CPTS, ISO27001 (LA)(I), ITIL, CCSA, and CCSE, CWNA, BS25999, CRISC, CISM. He actively supports State/Central Government of India officials in Digital Forensic investigation. He has been invited for various security conferences as a speaker as the CSI (Computer Security of India), OWASP, ISACA. He has also trained more than 100 IT professionals on Ethical Hacking, Forensic Investigation from all levels of the corporate ladder. He is the current OWASP Chapter Lead for Chennai.Cloud Security Alliance Chennai Chapter Lead.

Status: A confirmar

Henrich Christopher Pöhls
University of Passau - ISL

Título: The State of XML Digital Signatures --- How to Avoid Technical Pitfalls and Harvest the Power of Newer Signature Schemes

Resumo: XML Digital Signatures are a complex tool, applied right they help to ensure legal compliance, but there are many pitfalls. This talk will provide some basic steps that users and implementers should follow to avoid the pitfalls, among them are: - Solid Understanding of the XML Signature processing and verification steps - Use of simplistic and coherent references when creating XML Digital Signature - Know how to Test what was signed before acting upon it (BitFlip Test) The Talk will also provide an overview of new applications for recent and more specialized digital signature schemes, like sanitizable signature schemes (academic research since roughly 2000) that allow to deal with the need to modify already signed content. And it will highlight the security relevant changes that are planned for the upcoming version of XML Signature Syntax and Processing 2.0.

Biografia: Henrich C. Pöhls has presented his scientific work on digital signatures at several academic conferences (i.e. ICICS, GI, Invited Talks) or to technical audiences (i.e. DFN CERT, OWASP). Instructor of a practical IT-security university class for Computer Science and IT-Security Master students for the last 7 years. He has established this course first at the University of Hamburg in 2004 and than at the University of Passau in 2008. The course, now titled "Security Infrastructures", is centered around security infrastructures focussing on secure & authenticated access through the use of digital signatures.

It involves setting-up a certificate authority, using digital signatures and X509 certificates mostly for authentication in open-source software like client and server authentication with apache, secure DNS zone transfers, or client and server authentication in openvpn, as well as in MS Windows environments.It also covers certificate revocation using CRLs and OCSP. Henrich C. Pöhls draws from a rich repository of his own experience from his academic research in the field and the 7 years of using the available tools for creating, applying and managing digital signatures and X509 certificates in different versions and seeing his students struggle with the pitfalls trying to get it to work.

Status: Confirmada

Rodrigo Montoro
Trustwave Spiderlabs

Título: Web Application First Aid - Virtual Patching with ModSecurity

Resumo: Nessa apresentação demonstraremos o processo para criação de um Virtual Patch para sua aplicação web desde o processo para encontrar a falha até a correção provisória. Entre os assuntos abordaremos :


 * Testes de Aplicação Web
 * Como funciona um BlackBox ?
 * Como funciona um WhiteBox ?
 * Funcionamento do ModSecurity
 * Encontrei uma falha e agora ?
 * Entendendo a falha encontrada
 * Criando uma regra para Virtual Patching
 * Testando a(s) regra(s)

Na apresentação daremos enfase que o Web Application Firewall (WAF) não substitui um code review ou teste da aplicação e sim deve e pode ser usada como ótimo complemento de segurança para seu ambiente.

Biografia: Rodrigo “Sp0oKeR” Montoro possui grande experiência em ambientes opensource e mercado de segurança especialmente na parte de IPS/IDS, malwares e protocolos. Atualmente trabalha no time de pesquisas do SpiderLabs (Trustwave) onde faz parte do core team de assinaturas do modsecurity além de analise de malwares, assinaturas de IDS e pesquisas na area de arquivos maliciosos especialmente pdfʼs.

Status: Confirmada

Brian Contos
McAfee

Título: Exploring Three Modern Attack Vectors: Insiders, Industrialized and APTs

Resumo: Attacks are coming from all angles. In some cases they are very rudimentary; in others they are highly complex. Organizations must be able to protect themselves regardless, and do so in a way this is in parity with business operations, maintains employee and partner agility, and is manageable without the complexity of the solution being worse than the attack itself.

Failure to address these three different attack types can result in everything from diminished brand loyalty, regulatory penalties, and lost revenue, to stolen intellectual property, economic competitive disadvantage, and military competitive disadvantage. Based on research from McAfee Labs and customer interactions across the globe in the public and private sector, there is much information that can be shared about these attackers and their strategies.

Attendees will leave the presentation more knowledgeable about insider threats, industrialized hacking, and APTs. They will have a strong grasp of the attacker motives and understand their attack vectors. The audience will also be exposed to several non-vender, non-product specific countermeasures that they can leverage within their own organizations.

Biografia: Mr. Contos has over 15 years of security engineering and management expertise. He has worked throughout North and South America, Europe, the Middle East, and Asia. At McAfee he advises government organizations and G2000s on security strategy. He has written two books including Enemy at the Water Cooler – Real Life Stories of Insider Threats, and Physical and Logical Security Convergence which he co-authored with former NSA Deputy Director William Crowell. He has delivered speeches at industry events like RSA, Black Hat, Interop, OWASP, CSI, ISACA, ISSA, InfraGard and eCrime. He is often quoted by business and industry press, and has written articles for Forbes, NY Times, London Times, Computerworld, and many others. He was formerly the Chief Security Strategist for Imperva, the Chief Security Officer for ArcSight, and has held management and engineering positions at Riptech, Bell Labs, Tandem Computers, and DISA.

Status: Confirmada

Codificação Segura em Aplicações J2EE


''' Atenção: Este treinamento será ministrado em inglês SEM tradução simultânea. '''

Data e horário: 16 e 17 de Novembro (9 às 18 horas) Instrutor: Jason Li

Resumo A capacitação de desenvolvedores nas práticas de programação segura oferece o mais alto retorno de investimento em meio a todo o orçamento de segurança, através da eliminação de vulnerabilidades diretamente no código. O curso Aspectos de Programação Segura JAVA EE faz crescer a noção de questões relativas segurança de aplicações em meio aos desenvolvedores e fornece exemplos de “o que fazer” e “o que não fazer”. O curso é ministrado por um desenvolvedor experiente e apresentado de maneira bastante interativa. Este curso inclui exercícios “mão-na-massa” onde os alunos são chamados a executar análises e testes de segurança em uma aplicação Web Java EE real. Este ambiente especialmente planejado inclui falhas intencionais as quais os alunos deverão encontrar, diagnosticar e corrigir. O curso também faz uso de exercícios de programação Java EE, de forma a fornecer aos alunos uma experiência realista e “mão-na-massa” de desenvolvimento seguro. Os alunos obtêm essa experiência “mão-na-massa” usando ferramentas de teste de segurança de aplicações Web, disponíveis gratuitamente, de forma a buscar e diagnosticar falhas e aprender a evitá-las em seu próprio código.

Público Alvo O publico esperado para este curso é composto por desenvolvedores de aplicações JAVA EE e por testadores que possuam conhecimentos de programação.

Objetivos de Aprendizado

O objetivo maior do curso é assegurar que os desenvolvedores são capazes de projetar, construir e testar aplicações seguras Java EE e compreender a importância da segurança no processo.

Tópicos


 * Aprendendo os Fundamentos Objetivos do HTTP
 * Compreender e ser capaz de empregar as características de segurança

envolvidas no uso do HTTP (e.g., cabeçalhos, cookies, SSL).


 * Princípios e Padrões de Projeto
 * Compreender e ser capaz de aplicar os princípios de projeto de

segurança de aplicação.


 * Ameaças
 * Ser capaz de identificar e explicar as ameaças comuns à segurança de

aplicações Web (cross-site scripting, SQL injection, ataques de “denial of service”, ataques de "Man-in-the-middle", etc.) e implementar técnicas para mitigar o risco.


 * Autenticação e Gerência de Sessão
 * Ser capaz de tratar credenciais de forma segura, ao fornecer um leque

completo de suporte a funções de autenticação, incluindo login, troca, esquecimento e recuperação de senha, logout, re-autenticação e expiração de sessão.


 * Controle de Acesso
 * Ser capaz de implementar regras de controle de acesso à interface de

usuário, lógica de negócio e camada de dados.


 * Validação de Campos
 * Ser capaz de reconhecer problemas potenciais na validação de campos,

particularmente problemas de injection e Cross-site Scripting (XSS), e implementar os mecanismos apropriados de validação de campos informados pelo usuário ou obtidos a partir de outras fontes de entrada.


 * Injeção de Comandos
 * Compreender os perigos da injeção de comandos e as técnicas para

evitar a introdução deste tipo de vulnerabilidade.


 * Tratamento de Erros
 * Ser capaz de implementar um tratamento consistente de erros (exceções)

e um esquema de log para a aplicação Web como um todo.


 * Criptografia
 * Aprender em quais situações de deve aplicar técnicas de criptografia e

ser capaz de escolher algoritmos, usar criptografia/decriptografia e funções de hash de forma segura.

O Instrutor Jason é um instrutor notável, tendo comandado cinco diferentes cursos no período de um ano para nossos principais e diversos clientes de longa data. A base de clientes inclui uma grande instituição financeira, diversas empresas líderes do ramo de encomendas e logística e um líder na integração de sistemas governamentais.

Jason também já ministrou os cursos Testando a Segurança de Aplicações Web Anvançado e Construindo Aplicações Web Seguras na conferência OWASP 2008, na Bélgica e Índia.

Elogios comuns encontrados nas avaliações dos cursos de Jason incluem “Este é provavelmente um dos cursos mais importantes aos quais já fui exposto aqui”e “Um dos melhores instrutores que já tive. Um conhecimento efetivo do assunto. Manteve a turma interessada através do compartilhamento de exemplos pessoais reais os quais descreveram bons cenários”'''. '''

Utilizando a API de segurança OWASP ESAPI (Enterprise Security API) para prover segurança em aplicações Web
''' Treinamento em português. '''

Data e horário: 16 de Novembro (9 às 18 horas) Instrutor: Tarcizio Vieira Neto

Resumo

A evolução da tecnologia no desenvolvimento de aplicações WEB tem contribuído com o aumento significativo do uso dessa tecnologia para atender os mais diversificados propósitos. Porém, essa tecnologia está sujeita a vulnerabilidades de segurança críticas, principalmente quando pesquisas recentes apontam que a maioria das vulnerabilidades estão presentes na própria aplicação. A biblioteca ESAPI (Enterprise Security API), da OWASP, surge neste cenário como uma biblioteca de segurança open source disponível para diversas linguagens, como Java EE, PHP, .NET, ASP Clássico, Python, Ruby, entre outras. O minicurso abordada as vulnerabilidades causadas por erros comuns no desenvolvimento de aplicações e os mecanismos de controle de segurança providos pela biblioteca ESAPI com o foco na tecnologia Java. Os princípios gerais aprendidos no curso podem ser aplicados no contexto das demais linguagens de programação.

Público Alvo

O perfil desejado de audiência são pessoas ligadas à área de desenvolvimento e segurança de aplicações  Web,   tendo   como   pré-requisito   conhecimentos   básicos   em   tecnologias   Web, protocolos de comunicação HTTP e HTTPs, princípios básicos de segurança: criptografia, hash e assinatura digital, programação Java para sistemas Web.

Objetivos de Aprendizado


 * Conhecer as principais vulnerabilidades de segurança comumente encontradas em aplicações Web.
 * Apresentar a arquitetura da biblioteca ESAPI e o funcionamento de seus módulos com exemplos em código Java associados.
 * Apresentar o componente Web Application Firewall da ESAPI.

Tópicos


 * 1) Introdução
 * 2) Mitos relacionados à segurança em Aplicações Web
 * 3) Projeto OWASP
 * 4) OWASP Top 10
 * 5) Biblioteca OWASP ESAPI
 * 6) Módulo de Validação e Codificação
 * 7) Módulo de Autenticação
 * 8) Módulo de Controle de Acesso
 * 9) Módulo de utilitários HTTP
 * 10) Módulo de tratamento de referência de acesso
 * 11) Módulo de Criptografia
 * 12) Módulo de Log
 * 13) Módulo de Detecção de Intrusão
 * 14) Integrando o módulo AppSensor com a ESAPI
 * 15) Utilizando Filtros
 * 16) Configurando a ESAPI
 * 17) Módulo Web Application Firewall da ESAPI
 * 18) Vantagens do Uso da Biblioteca ESAPI
 * 19) Conclusões

O Instrutor

Tarcizio Vieira Neto é graduado em Ciência da Computação pela Universidade Federal de Goiás (UFG), em Goiânia. Começou a carreira de desenvolvedor como estagiário em  um projeto de iniciação tecnológica financiado pelo CNPq na empresa Estratégia, em Goiânia. Após concluir a graduação trabalhou por seis meses na empresa Fibonacci Soluções Ageis, na mesma cidade, no cargo de analista de desenvolvimento. Em seguida trabalhou por dois anos e oito meses na Força Aérea Brasileira como oficial analista de sistemas do quadro complementar no Centro de Computação da Aeronáutica de Brasília, onde adquiriu experiência com a tecnologias de certificação digital e colaborou no desenvolvimento de um sistema corporativo de gestão eletrônica de documentos.

Atualmente trabalha no SERPRO desde novembro de 2009 como Analista de Desenvolvimento, na Coordenação Estratégica de Tecnologia – CETEC, desenvolvendo trabalhos sobre o tema segurança no desenvolvimento de software, desde novembro de 2009, onde dedica-se prioritariamente na elaboração de guias que padronizam técnicas e ferramentas que dão suporte à segurança no desenvolvimento de aplicações Web. Está cursando o curso de especialização em segurança da informação pela Universidade de Brasília (UnB) e possui ao todo mais de 5 anos de experiência com programação em Java.

A arte e a ciência da modelagem de ameças de applicações web
''' Atenção: Este treinamento será ministrado em inglês SEM tradução simultânea. '''

Data e horário: 17 de Novembro (9 às 18 horas) Instrutor: Mano Paul

Resumo

Para manter a sua casa segura, você primeiro precisa saber como o ladrão poderia entrar e sair e onde você deve armazenar o seus valores. O mesmo é verdade para as suas aplicações web. A menos que você saiba quais as vulnerabilidades e ameaças para seus aplicativos web, e quais medidas de segurança que você deve tomar para protegê-los, invasores ou o inimigo dentro (insider) poderiam tirar proveito das vulnerabilidades.

Modelagem de Ameaças é uma técnica que você pode usar para identificar ATVS (ataques, ameaças, vulnerabilidades e garantias) que poderiam afetar suas aplicações web. Modelagem de ameaças ajuda a projetar sua aplicação de forma segura a partir de uma perspectiva de confidencialidade, integridade, disponibilidade, autenticação, autorização e auditoria. É uma atividade essencial a ser realizada durante a fase de concepção do seu SDLC e ajuda a reduzir e minimizar o risco global.

Público Alvo

O público alvo é composto por pessoal técnico e gerencial de organizações de desenvolvimento de sistemas, sem requisitos de conhecimento de linguagens ou metodologias de propogamação especificos.

Objetivos de Aprendizado


 * 1) Entender modelagem de maeaças: quando fazê-la e quando não fazê-la
 * 2) Traduzir ameaças em riscos para a organização
 * 3) Divirta-se aprendendo conceitos complexos com exercícios e jogos interativos

Tópicos


 * 1) Introdução
 * 2) Por que fazer modelagem de ameaças?
 * 3) Modelagem de ameaças é adequado para você?
 * 4) Desafios
 * 5) Precursores
 * 6) Classificação de dados e modelagem de ameaças
 * 7) Mecanismos de segurança de aplicações web
 * 8) Benefícios da modelagem de ameaças
 * 9) Glossário de termos
 * 10) Agentes de ameaça
 * 11) OWASP Top 10 ataques comuns a aplicações
 * 12) O processo de modelagem de ameaças
 * 13) Árvores de ataques (attack trees)
 * 14) Frameworks de ameaças e riscos e.g., STRIDE and DREAD
 * 15) Truduzir de ameaças para riscos
 * 16) Modelagem de ameaças (exercícios hans-on)

O Instrutor

Manoranjan (Mano), Paul é o Consultor de Software Assurance para o (ISC)2. Sua experiência em Segurança da Informação e Software Assurance inclui projetar e desenvolver programas de segurança para complience-to-coding, segurança no SDLC, escrever código seguro, gestão de riscos, estratégia de segurança e treinamento e educação em conscientização de segurança. Ele fundou e serve como CEO e Presidente da Express Certifications. Ele também fundou SecuRisk Solutions, uma empresa especializada no desenvolvimento de produtos de segurança e consultoria.

Segurança em Arquitetura Orientada a Serviço
''' Treinamento em português. '''

Data e horário: 17 de Novembro (9 às 18 horas) Instrutores: Douglas Rodrigues, Julio Cesar Estrella e Nuno Manuel dos Santos Antunes

Resumo

Web services são a pedra angular de Arquiteturas Orientadas a Serviços (SOA). Como componentes críticos de negócios, Web Services devem apresentar alta segurança. No entanto, a implantação de Web Services seguros é uma tarefa complexa. De fato, diversos estudos mostram que um grande número de Web Services são implantados com falhas de segurança que vão desde vulnerabilidades de código (por exemplo, vulnerabilidades que permitem a injeção de código, incluindo SQL Injection e XPath Injection) até a utilização incorreta das normas e protocolos de segurança. O objetivo desse minicurso é o de apresentar de forma teórica e prática ferramentas que permitem a detecção de vulnerabilidades e mecanismos e protocolos de segurança contra ataques.

Público Alvo

O público alvo é composto por pessoal técnico e operacional de organizações de desenvolvimento de sistemas, com requisitos de conhecimento de linguagens ou metodologias de propogamação especificos em nível intermediário.

Objetivos de Aprendizado

O minicurso proposto contribui para agregar novas tendências tecnológicas. O tema é bastante interessante no tocante aos grandes desafios da pesquisa em computação, uma vez que se insere de forma natural dentro do desenvolvimento tecnológico de qualidade, englobando por sua vez, sistemas disponíveis, corretos, seguros, escaláveis, persistentes e ubíquos, além de notoriamente, observando-se as conferências da área, que SOA, Web Services e segurança constituem tema de crescente investigação na área de computação, pois é atual e de interesse da comunidade acadêmica, bem como de profissionais que atuam amplamente no mercado de trabalho. O interesse por SOA tem crescido nos últimos anos por se tratar de uma abordagem que ajuda os sistemas a permanecerem escaláveis e flexíveis enquanto crescem, e que também pode auxiliar a resolver a lacuna negócio/TI. Os estudantes e profissionais da área terão a oportunidade de compreender os princípios básicos de detecção de vulnerabilidade em nível de código e também a detecção de ataques por meio de protocolos e mecanismos. A idéia é que os participantes possam utilizar o breve conhecimento adquirido neste minicurso para o desenvolvimento de aplicações distribuídas usando Web Services seguros e obterem conhecimento necessário para diagnosticar e prevenir ataques a esse tipo de aplicação.

Tópicos


 * 1) PADRÕES E PROTOCOLOS DE SEGURANÇA PAR WEB SERVICES
 * 2) ATAQUES EM WEB SERVICES
 * 3) Ataques de Negação de Serviço (Denial of Service)
 * 4) Ataques de Força Bruta (Brute force)
 * 5) Ataques Spoofing
 * 6) Ataques de Inundação (Flooding)
 * 7) Ataques por Injeção
 * 8) AVALIANDO SEGURANÇA EM WEB SERVICES
 * 9) Estudo de campo sobre segurança em Web Services
 * 10) Análise “White-box”
 * 11) Teste “Black-box”
 * 12) Teste “Gray-box”
 * 13) Estudo de campo sobre a eficácia de ferramentas de avaliação de segurança

O Instrutor

Júlio Cesar Estrella - Cursou Mestrado em Ciência da Computação e Matemática Computacional, na área de Sistemas Distribuídos (Instituto de Ciências Matemáticas e de Computação ICMC / Universidade de São Paulo – USP). Durante o Mestrado, trabalho com simulação de redes de filas em um projeto relacionado ao desenvolvimento de técnicas de negociação em modelos de servidores web com diferenciação de serviços. Doutor em Ciência da Computação e Matemática Computacional (Instituto de Ciências Matemáticas e de Computação ICMC / Universidade de São Paulo – USP). O tema do projeto de doutorado versou sobre arquiteturas orientadas a serviços com suporte à QoS, bem como caracterização de cargas de trabalho para Web Services e Composição de Serviços também com suporte à Qualidade de Serviço. Atualmente é professor da Universidade Tecnológica Federal do Paraná (UTFPR - Campo Mourão)

Douglas Rodrigues - Mestrando em Ciências de Computação e Matemática Computacional pelo Instituto de Ciências Matemáticas e de Computação da Universidade de São Paulo - ICMC-USP/São Carlos. Bacharel em Ciência da Computação pelo Centro Universitário Eurípides de Marília - UNIVEM - Marília/SP. Atua principalmente nos seguintes temas: SOA, Web Services, avaliação de desempenho, criptografia e segurança.

Nuno Manuel dos Santos Antunes - frequentou, entre 2003 e 2007, a Licenciatura em Engenharia Informática no Departamento de Engenharia Informática da Universidade de Coimbra. Desde 2008 que exerce investigação científica no grupo de Software and Systems Engineering (SSE) do Centro de Informática e Sistemas da Universidade de Coimbra (CISUC), em tópicos relacionados com metodologias e ferramentas para o desenvolvimento de Web Services sem vulnerabilidades. Concluiu em 2009 o Mestrado em Engenharia Informática no Departamento de Engenharia Informática da Universidade de Coimbra, com a classificação final de Muito Bom. Em 2009 iniciou o seu Doutoramento em Ciências e Tecnologias da Informação. Publicou 5 artigos científicos em conferências com processo de revisão pelos pares rigoroso, incluindo artigos nas conferências mais prestigiadas das áreas de confiabilidade e serviços.

Revisões de Segurança de Sistemas ASP.NET nos modos "black box" e "white-box" usando a plataforma OWASP O2
''' Este treinamento será ministrado em português usando materiais em inglês. '''

Data e horário: 16 de Novembro (9 às 18 horas) Instrutor: Dinis Cruz

Resumo

Este é um treinamento hands-on sobre como usar a plataforma OWASP O2 para fazer revisões de caixa-preta (black-box) e caixa-branca (white-box) em aplicações web ASP.NET

O curso é destinado a consultores de segurança / colaboradores que são responsáveis por executar testes de penetração ou revisões de segurança de código. O curso vai mostrar exemplos práticos de como usar o OWASP O2 para encontrar, explorar e documentar vulnerabilidades de segurança.

Para os laboratórios do curso, uma série de testes e aplicações/frameworks do mundo real serão utilizados. A fim de dar aos alunos um ambiente de teste benigno que é fácil de reproduzir, a aplicação bancária (vulnerável-por-projeto) HacmeBank ASP.NET será usada durante todo o curso.

Tópicos


 * O que é a plataforma OWASP O2 e como utilizá-la:
 * Usando os testes de unidade do O2 para explorar e navegar na web
 * Usando os testes de unidade do O2 para explorar a web
 * Entendendo e usando as ferramentas de automação web do O2 para encontrar vulnerabilidades no HacmeBank (caix-preta)
 * Entendendo e usando o scanner AST .NET do O2 para encontrar vulnerabilidades no HacmeBank (caixa-branca)
 * Conectando os traces do código fonte com os exploits para criar uma visão unificada das vulnerabilidades
 * Criando 'testes de unidade direcionados a vulnerabilidades' para entregar aos desenvolvedores, testadores ou gerentes
 * Customizando e escrevendo novas APIs (para frameworks novos ou modificados)
 * Usando o O2 para consumir resultados de ferramenmtas de código aberto ou comerciais
 * Estudo de caso: Microsoft ASP.NET MVC
 * Estudo de caso: Microsoft Sharepoint

O Instrutor

Este curso será ministrado por Dinis Cruz, que é o líder do projeto OWASP O2 e já criou e entregou muitos cursos de segurança em .NET. Dinis é também um membro do Board do OWASP, além de ser reconhecido mundo afora como um especialista na área de segurança de software, principalmente de aplicações .NET.

Local dos treinamentos
Veja a aba Local.

Local
A conferência será em Campinas, SP, na Fundação CPQD.

Veja a localização no Google Maps

Como chegar

TBD

Inscrições online
O formulário de inscrição está disponível em https://creator.zoho.com/lucas.ferreira/appsec/.

Valores
Apenas a conferência (dias 18 e 19/11):


 * Antes de 16 de setembro: R$ 400,00
 * Antes de 16 de outubro: R$ 500,00
 * Antes de 12 de novembro: R$ 550,00
 * No local: R$ 600,00

As inscrições no local estarão sujeitas à disponibilidade de lugares.

Treinamentos


 * Um dia: R$ 450,00
 * Dois dias: R$ 900,00

Descontos


 * Membro do OWASP: R$ 100,00 (Nota: Este desconto é maior do que a taxa anual de USD 50.00. Confira aqui
 * Estudantes: R$ 100.00 (Nota: Será necessário apresentar comprovante de matrícula).

Comitês
OWASP Global Conferences Committee Chair: Mark Bristow

Líder do Capítulo Brasileiro: Wagner Elias

Comissão organizadora do AppSec Brasil 2010 (organizacao2010 at appsecbrasil.org):


 * Conference General Chair: Lucas C. Ferreira
 * Tutorials Chair: Eduardo Camargo Neves
 * Tracks Chair: Luiz Otávio Duarte
 * Local Chair: Alexandre Melo Braga

Equipe

 * Alexandre Melo Braga
 * Eduardo Camargo Neves
 * Lucas C. Ferreira
 * Luiz Otávio Duarte
 * Wagner Elias
 * Eduardo Alves Nonato da Silva
 * Leonardo Buonsanti
 * Dinis Cruz
 * Paulo Coimbra

Comitê de Programa

 * Alexandre Braga
 * Carlos Serrao
 * Eduardo alves
 * Fernando Cima
 * Leonardo Buonsanti
 * Lucas Ferreira
 * Luiz Duarte
 * Nelson Uto
 * Rodrigo Rubira
 * Wagner Elias

Hospedagem
TBD

Twitter
124443335

Links
Blog: http://blog.appsecbrasil.org

Twitter: http://twitter.com/owaspappsecbr

Modelo de apresentações: [[Media:OWASP_Presentation_Template_BrazilAppSec2010.ppt]]

Notícias
Portal G1