AppSec Brasil 2010 (pt-br)

From OWASP
Revision as of 08:04, 23 August 2010 by Leocavallari (Talk | contribs)

Jump to: navigation, search


LogoAppSecBrazil.002.jpg

The English version is here

OWASP AppSec Brasil 2010

A segunda edição da versão brasileira da série de conferências mais importante da OWASP ocorrerá em Campinas, SP. A conferência terá dois dias de treinamentos, seguidos de dois dias de conferência em trilha única.

AppSec Brasil 2010 Campinas.jpg

Datas Importantes

A Conferência ocorrerá entre 16 e 19 de novembro de 2010. Os primeiros dois dias serão dedicados aos treinamentos. As plenárias ocorrerão em 18 e 19 de novembro de 2010.

A data final de apresentação de propostas foi adiada para 23/09



Sobre

Sobre a Conferência

Dando prosseguimento ao sucesso da primeira AppSec Brasil, que ocorreu em Brasília em 2009, o Capítulo brasileiro do OWASP irá promover a segunda edição em 2010, na cidade de Campinas, a cerca de 90 km de São Paulo

Campinas é a terceira maior cidade do estado de São Paulo (e a maior fora da área metropolitana da Capital) e é um importante polo econômico, abrigando universidades e centros de pesquisa de renome internacional. A cidade também concentra muitas indústrias de alta tecnologia, incluindo multi-nacionais dos ramos de eletrônicos, telecomunicações e quimicos.

Este ano, esperamos reunir um número expressivo de profissionais e pesquisadores brasileiros e latino-americanos para compartilharem informações sobre o estado-da-arte da segurança de aplicações.

Chamadas de trabalhos

**PRORROGAÇÃO DE PRAZO PARA SUBMISSÕES - 23 de agosto**
**APPSEC BRASIL 2010**
**CHAMADA DE TRABALHOS**

O OWASP (Open Web Application Security Project) solicita propostas de apresentações para a conferência AppSec Brasil 2010,
que ocorrerá na Fundação CPqD em Campinas, SP, de 16 a 19 de novembro de 2010. Haverá mini-cursos nos dias 16 e 17, seguidos
de sessões plenárias detrilha única nos dias 18 e 19 de novembro de 2010.

Buscamos pessoas e organizações que queiram ministrar palestras sobre segurança de aplicações. Em particular destacamos os seguintes
tópicos de interesse:
 - Modelagem de ameaças em aplicações
 - Riscos de Negócio em Segurança de aplicações
 - Aplicações de Revisões de Código
 - Métricas Aplicadas a Segurança de Aplicações
 - Ferramentas e Projetos do OWASP
 - Tópicos de Privacidade em Aplicações e Armazenamento de Dados
 - Práticas de Programação Segura
 - Programas de Segurança para todo o Ciclo de Vida de aplicações
 - Tópicos de Segurança para tecnologias específicas (AJAX, XML, Flash, etc)
 - Controles de Segurança para aplicações Web
 - Testes de Segurança de aplicações Web
 - Segurança de Web Services ou XML

A lista de tópicos não é exaustiva; outros tópicos podem ser abordados, desde que em consonância com o tema central do evento.

Para submeter uma proposta, preencha o formulário disponível em http://www.owasp.org/images/6/68/OWASP_AppSec_Brasil_2010_CFP%28pt-br%29.rtf.zip,
que deve ser enviado através da página da conferência no site Easychair: http://www.easychair.org/conferences/?conf=appsecbr2010

Cada apresentação terá 45 minutos de duração, seguidos de 10 minutos para perguntas da platéia. Todas as apresentações deverão estar
em conformidade com as regras definidas pelo OWASP em seu "Speaker Agreement".

**Datas importantes:**
 A data limite para apresentação de propostas é 23 de agosto de 2010 às 23:59, horário de Brasília.
 A notificação de aceitação ocorrerá até o dia 8 de setembro de 2010.
 A versão final das apresentações deverá ser enviada até o dia 30 de setembro de 2010.

A comissão organizadora da conferência pode ser contatada pelo e-mail: organizacao2010@appsecbrasil.org

Para mais informações, favor consultar as seguintes páginas:
 Página da conferência:
   http://www.owasp.org/index.php/AppSec_Brasil_2010_(pt-br)

 OWASP Speaker Agreement (em inglês):
   http://www.owasp.org/index.php/Speaker_Agreement

 Página do OWASP:
   http://www.owasp.org

 Página da conferência no Easychair:
   http://www.easychair.org/conferences/?conf=appsecbr2010

 Formulário para apresentação de propostas:

http://www.owasp.org/images/6/68/OWASP_AppSec_Brasil_2010_CFP%28pt-br%29.rtf.zip

********* ATENÇÃO: Não serão aceitas propostas sem TODAS as informações solicitadas no formulário *********

Favor divulgar a todos os possíveis interessados.

Chamada de mini-cursos

**APPSEC BRASIL 2010**
**CHAMADA DE MINI-CURSOS**

O OWASP (Open Web Application Security Project) solicita propostas de apresentações para a conferência AppSec Brasil 2010, 
que ocorrerá na Fundação CPqD em Campinas, SP, de 16 a 19 de novembro de 2010. Haverá mini-cursos nos dias 16 e 17, 
seguidos de sessões plenárias de trilha única nos dias 18 e 19 de novembro de 2010.

Buscamos pessoas e organizações que queiram ministrar mini-cursos sobre segurança de aplicações. 
Destacamos os seguintes tópicos de interesse:
  - Modelagem de ameaças em aplicações (Application Threat Modeling)
  - Riscos de Negócio em Segurança de aplicações (Business Risks with Application Security)
  - Aplicações de Revisões de Código (Hands-on Source Code Review)
  - Métricas Aplicadas a Segurança de Aplicações (Metrics for Application Security)
  - Ferramentas e Projetos do OWASP (OWASP Tools and Projects)
  - Tópicos de Privacidade em Aplicações e Armazenamento de Dados (Privacy Concerns with 
     Applications and Data Storage)
  - Práticas de Programação Segura (Secure Coding Practices)
  - Programas de Segurança para todo o Ciclo de Vida de aplicações (Secure Development Lifecycle Programs)
  - Tópicos de Segurança para tecnologias específicas (AJAX, XML, Flash, etc) (Technology specific presentations on 
     security such as AJAX, XML, etc)
  - Controles de Segurança para aplicações Web (Web Application Security countermeasures)
  - Testes de Segurança de aplicações Web (Web Application Security Testing)
  - Segurança de Web Services ou XML (Web Services, XML and Application Security)

A lista de tópicos não é exaustiva; outros tópicos podem ser abordados, desde que em consonância com o tema central do evento.

Para submeter uma proposta, preencha o formulário disponível em 
http://www.owasp.org/images/4/43/OWASP_AppSec_Brasil_2010_CFT%28pt-br%29.rtf.zip, que deve ser enviado por email 
para organizacao2010@appsecbrasil.org.

Cada mini-curso poderá ter 1 ou 2 dias (8 horas por dia) de duração e deverão estar em conformidade com as regras definidas 
pelo OWASP em seu "Speaker Agreement". A conferência pagará aos instrutores pelo menos 30% do fatuamente de seus mini-cursos. 
Cursos que consigam atrair mais que o número mínimo de alunos poderão receber percentagens maiores (mais detalhes abaixo). 
Não haverá qualquer outro tipo de remuneração (passagens, hospedagem, etc) para os apresentadores ou autores dos mini-cursos. 
Caso seja necessário um arranjo diferente, favor entrar em contacto com o comitê organizador pelo email abaixo.

**Remuneração**
  Os instrutores e autores dos cursos serão remunerados conforme a quantidade de alunos. Se o curso atrair apenas o número 
mínimo de alunos, a remuneração será 30% do faturamento. Para cada 10 alunos a mais, a remuneração será acrescida de 5% do 
faturamento, até um máximo de 45% do faturamento do curso. Por exemplo, para um curso de 1 dia para uma turma de 10 a 
19 alunos, os instrutores e autores receberão 30% do faturamento do curso. Para turmas entre 20 e 29 alunos, a remuneração 
sobe para 35% do faturamento e assim sucessivamente.

Em casos excepcionais, poderá ser acordado um esquema diferente para remuneração dos instrutores. Possíveis interessados 
devem entrar em contato com a comissão organizadora pelo email organizacao2010@appsecbrasil.org

**Valores das inscrições**
  Cursos de 1 dia:  R$ 450 por aluno
  Cursos de 2 días: R$ 900 por aluno 

**Mínimo de alunos**
  10 alunos para cursos de 1 dia
  20 alunos para cursos de 2 dias

**Datas importantes:**
  A data limite para apresentação de propostas é 26 de julho de 2010 às 23:59, horário de Brasília.
  A notificação de aceitação ocorrerá até o dia 16 de agosto de 2010.
  A versão final do material dos mini-cursos deverá ser enviada até o dia 15 de setembro de 2010.

A comissão organizadora da conferência pode ser contactada pelo e-mail: organizacao2010@appsecbrasil.org

Para mais informações, favor consultar as seguintes páginas:
 Página da conferência: http://www.owasp.org/index.php/AppSec_Brasil_2010_(pt-br)
 OWASP Speaker Agreement (em inglês): http://www.owasp.org/index.php/Speaker_Agreement
 Página do OWASP: http://www.owasp.org
 Página da conferência no Easychair: http://www.easychair.org/conferences/?conf=appsecbr2010
 Formulário para apresentação de propostas: http://www.owasp.org/images/4/43/OWASP_AppSec_Brasil_2010_CFT%28pt-br%29.rtf.zip

********* ATENÇÃO: Não serão aceitas propostas sem TODAS as informações solicitadas no formulário *********

Favor divulgar a todos os possíveis interessados.

Patrocínio

Estamos atualmente buscado patrocinadores para a edição 2010 da AppSec Brasil. Veja mais detalhes sobre as oportunidades de patrocínio.

Se estiver interessado em patrocinar o AppSec Brasil 2010, por favor entre em contato com a equipe organizadora da conferência pelo email organizacao2010@appsecbrasil.org.

Patrocinadores

Patrocinadores Platinum

AppSec Brasil 2010 CPQD.jpg
 

Patrocinadores Gold

LeadComm Logo Screen.jpg
Logo PagSeguro-Uma empresa-UOL.jpg
 

Patrocinadores Silver


Patrocinadores do kit da conferência

Logotipo Conviso 2009 Cor.png
LgClavis.png
 


Promoção

Appsec Brasil 2010 InstitutoTuring.png

Keynotes

Robert 'Rsnake' Hansen

SecTheory

Title: TBD.

Bio: Robert Hansen, também conhecido como RSnake, é o fundador e CEO da empresa SecTheory. Trabalhou para empresas como Digital Island, Exodus Communications e Cable & Wireless ocupando diversos cargos desde Arquiteto de Segurança Sênior e eventualmente como gerente de produtos de diversos serviços da linha de serviços gerenciados de segurança. Também trabalhou no eBay como Gerente Global Sênior para Confiança e Segurança, focando em anti-phishing, anti-malware de DHTML e estratégias de anti-vírus. Posteriormente ele trabalhou como Diretor de Gerenciamento de Produtos para o site Realtor.com. Robert é membro do conselho consultivo para o Grupo Intrepidus, e anteriormente era membro do conselho consultivo técnico da ClickForensics e atualmente contribui para a estratégia de segurança de diversas companhias startup.

O Sr. Hansen escreveu o livro Detecting Malice, publica conteúdo para a O'Reilly e é co-autor do livro XSS Exploits da editora Syngress. Ele é membro do grupo do NIST.gov para Métricas de Garantia de Software e Avaliação de Ferramentas com foco em scanners de segurança de aplicações e membro do grupo de Critérios de Avaliação de Scanners para Segurança de Aplicações (WASC-WASSEC). Passou instruções ao Departamento de Defesa no Pentágono e é palestrante em conferências como SourceBoston, Secure360, GFIRST/US-CERT, CSI, Toorcon, APWG, ISSA, TRISC, conferências mundias da OWASP/WASC, SANS, Microsoft Bluehat, Blackhat, DefCon, SecTor, BSides, Networld+Interop e foi um keynote speaker na Conferência de CyberSegurança de Nova York, NITES e OWASP AppSec Asia. O Sr. Hansens é um membro da Ingragard, West Austin Rotary, WASC, IACSP, APWG, contribui para o guia OWASP 2.0 e está no Comitê de Conexões da OWASP.

Robert também mantém o site http://ha.ckers.org onde discute sobre segurança de aplicações web e provê muitas informações úteis que podem ser usadas contra ataques de aplicações web.

Jeremiah Grossman

WhiteHat Security

Título: A definir.

Bio: Jeremiah Grossman, fundador e CTO da WhiteHat Security, é um especialista em segurança web. É co-fundador do Web Application Security Consortium (WASC), foi escolhido pela InfoWorld um dos Top 25 CTOs em 2007 e é frequentemente citado em publicações técnicas ou de negócios. Publicou dezenas de artigos, foi o descobridor de várias técnicas avançadas de ataque e defesa e é co-autor do livro "XSS Attacks: Cross Site Scripting Exploits and Defense." Grossman é também um blogueiro influente que oferece idéias e encoraja um dálogo franco sobre pesquisas e tedências da segurança na web. Antes da WhiteHat, Grossman foi um "information security officer" no Yahoo!


Palestras Convidadas

Samy Kamkar

Title: How I Met Your Girlfriend: The discovery and execution of entirely new classes of Web attacks in order to meet your girlfriend.

Summary: This includes entertaining and newly discovered attacks including PHP session prediction and random numbers (accurately guessing PHP session cookies), browser protocol confusion (turning a browser into an SMTP server), firewall and NAT penetration via Javascript (turning your router against you), remote iPhone Google Maps hijacking (iPhone penetration combined with HTTP man-in-themiddle), extracting extremely accurate geolocation information from a Web browser (not using IP geolocation), and more.

Bio: Samy Kamkar is best known for the Samy worm, the first XSS worm, infecting over one million users on MySpace in less than 24 hours. A cofounder of Fonality, Inc., an IP PBX company, Samy previously led the development of all top-level domain name server software and systems for Global Domains International (.ws).

In the past 10 years, Samy has focused on evolutionary and genetic algorithmic software development, Voice over IP software development, automated security and vulnerability research in network security, reverse engineering, and network gaming. When not strapped behind the Matrix, Samy can be found stunt driving and getting involved in local community service projects.

Mano Paul

Title: TBD.

Bio: Manoranjan (Mano) Paul is the Software Assurance Advisor for (ISC)2. His information security and software assurance experience includes designing and developing security programs from compliance-to-coding, security in the SDLC, writing secure code, risk management, security strategy, and security awareness training and education. He founded and serves as the CEO & President of Express Certifications. He also founded SecuRisk Solutions, a company that specializes in security product development and consulting.


Agenda

Programa da Conferência - Dia 1 - 18 de novembro de 2010

08:30 - 09:00 Recepção
09:00 - 09:20 Cerimônia de Abertura
09:20 - 10:30 Dinis Cruz
Sobre o OWASP
10:30 - 10:50 Intervalo
10:50 - 12:20 Robert 'RSnake' Hansen
TBD
12:20 - 14:00 Almoço
14:00 - 14:50 TBD
TBD
14:50 - 15:40 TBD
TBD
15:40 - 16:00 Intervalo
16:00 - 16:50 TBD
TBD
16:50 - 17:40 TBD
TBD
17:40 - 18:30 Convidado
TBD
18:30 - 18:35 Encerramento do primeiro dia


Programa da Conferência - Dia 2 - 19 de novembro de 2010

08:30 - 09:00 Recepção
09:00 - 10:30 Jeremiah Grossman
TBD
10:30 - 10:50 Intervalo
10:30 - 11:40 TBD
TBD
11:40 - 12:30 TBD
TBD
12:30 - 14:00 Almoço
14:00 - 14:50 Convidado
TBD
14:50 - 15:40 TBD
TBD
15:40 - 16:10 Cel. Monclaro
Apresentação da RENASIC
16:10 - 16:30 Intervalo
16:30 - 17:20 TBD
TBD
15:40 - 16:10 TBD
TBD
18:10 - 18:30 Encerramento


Treinamentos

Aspect logo.png

Codificação Segura em Aplicações J2EE

Jasonli appsecBR2010.jpg

Atenção: Este treinamento será ministrado em inglês SEM tradução simultânea.

Data e horário: 16 e 17 de Novembro (9 às 18 horas)
Instrutor: Jason Li

Resumo
A capacitação de desenvolvedores nas práticas de programação segura oferece o mais alto retorno de investimento em meio a todo o orçamento de segurança, através da eliminação de vulnerabilidades diretamente no código. O curso Aspectos de Programação Segura JAVA EE faz crescer a noção de questões relativas segurança de aplicações em meio aos desenvolvedores e fornece exemplos de “o que fazer” e “o que não fazer”. O curso é ministrado por um desenvolvedor experiente e apresentado de maneira bastante interativa. Este curso inclui exercícios “mão-na-massa” onde os alunos são chamados a executar análises e testes de segurança em uma aplicação Web Java EE real. Este ambiente especialmente planejado inclui falhas intencionais as quais os alunos deverão encontrar, diagnosticar e corrigir. O curso também faz uso de exercícios de programação Java EE, de forma a fornecer aos alunos uma experiência realista e “mão-na-massa” de desenvolvimento seguro. Os alunos obtêm essa experiência “mão-na-massa” usando ferramentas de teste de segurança de aplicações Web, disponíveis gratuitamente, de forma a buscar e diagnosticar falhas e aprender a evitá-las em seu próprio código.

Público Alvo
O publico esperado para este curso é composto por desenvolvedores de aplicações JAVA EE e por testadores que possuam conhecimentos de programação.

Objetivos de Aprendizado

O objetivo maior do curso é assegurar que os desenvolvedores são capazes de projetar, construir e testar aplicações seguras Java EE e compreender a importância da segurança no processo.

Tópicos

  • Aprendendo os Fundamentos Objetivos do HTTP
    • Compreender e ser capaz de empregar as características de segurança

envolvidas no uso do HTTP (e.g., cabeçalhos, cookies, SSL).

  • Princípios e Padrões de Projeto
    • Compreender e ser capaz de aplicar os princípios de projeto de

segurança de aplicação.

  • Ameaças
    • Ser capaz de identificar e explicar as ameaças comuns à segurança de

aplicações Web (cross-site scripting, SQL injection, ataques de “denial of service”, ataques de "Man-in-the-middle", etc.) e implementar técnicas para mitigar o risco.

  • Autenticação e Gerência de Sessão
    • Ser capaz de tratar credenciais de forma segura, ao fornecer um leque

completo de suporte a funções de autenticação, incluindo login, troca, esquecimento e recuperação de senha, logout, re-autenticação e expiração de sessão.

  • Controle de Acesso
    • Ser capaz de implementar regras de controle de acesso à interface de

usuário, lógica de negócio e camada de dados.

  • Validação de Campos
    • Ser capaz de reconhecer problemas potenciais na validação de campos,

particularmente problemas de injection e Cross-site Scripting (XSS), e implementar os mecanismos apropriados de validação de campos informados pelo usuário ou obtidos a partir de outras fontes de entrada.

  • Injeção de Comandos
    • Compreender os perigos da injeção de comandos e as técnicas para

evitar a introdução deste tipo de vulnerabilidade.

  • Tratamento de Erros
    • Ser capaz de implementar um tratamento consistente de erros (exceções)

e um esquema de log para a aplicação Web como um todo.

  • Criptografia
    • Aprender em quais situações de deve aplicar técnicas de criptografia e

ser capaz de escolher algoritmos, usar criptografia/decriptografia e funções de hash de forma segura.

O Instrutor
Jason é um instrutor notável, tendo comandado cinco diferentes cursos no período de um ano para nossos principais e diversos clientes de longa data. A base de clientes inclui uma grande instituição financeira, diversas empresas líderes do ramo de encomendas e logística e um líder na integração de sistemas governamentais.

Jason também já ministrou os cursos Testando a Segurança de Aplicações Web Anvançado e Construindo Aplicações Web Seguras na conferência OWASP 2008, na Bélgica e Índia.

Elogios comuns encontrados nas avaliações dos cursos de Jason incluem “Este é provavelmente um dos cursos mais importantes aos quais já fui exposto aqui”e “Um dos melhores instrutores que já tive. Um conhecimento efetivo do assunto. Manteve a turma interessada através do compartilhamento de exemplos pessoais reais os quais descreveram bons cenários”.


Utilizando a API de segurança OWASP ESAPI (Enterprise Security API) para prover segurança em aplicações Web

Treinamento em português.

Data e horário: 16 de Novembro (9 às 18 horas)
Instrutor: Tarcizio Vieira Neto

Resumo

A evolução da tecnologia no desenvolvimento de aplicações WEB tem contribuído com o aumento significativo do uso dessa tecnologia para atender os mais diversificados propósitos. Porém, essa tecnologia está sujeita a vulnerabilidades de segurança críticas, principalmente quando pesquisas recentes apontam que a maioria das vulnerabilidades estão presentes na própria aplicação. A biblioteca ESAPI (Enterprise Security API), da OWASP, surge neste cenário como uma biblioteca de segurança open source disponível para diversas linguagens, como Java EE, PHP, .NET, ASP Clássico, Python, Ruby, entre outras. O minicurso abordada as vulnerabilidades causadas por erros comuns no desenvolvimento de aplicações e os mecanismos de controle de segurança providos pela biblioteca ESAPI com o foco na tecnologia Java. Os princípios gerais aprendidos no curso podem ser aplicados no contexto das demais linguagens de programação.


Público Alvo

O perfil desejado de audiência são pessoas ligadas à área de desenvolvimento e segurança de aplicações Web, tendo como pré-requisito conhecimentos básicos em tecnologias Web, protocolos de comunicação HTTP e HTTPs, princípios básicos de segurança: criptografia, hash e assinatura digital, programação Java para sistemas Web.


Objetivos de Aprendizado

  • Conhecer as principais vulnerabilidades de segurança comumente encontradas em aplicações Web.
  • Apresentar a arquitetura da biblioteca ESAPI e o funcionamento de seus módulos com exemplos em código Java associados.
  • Apresentar o componente Web Application Firewall da ESAPI.


Tópicos

  1. Introdução
    1. Mitos relacionados à segurança em Aplicações Web
    2. Projeto OWASP
  2. OWASP Top 10
  3. Biblioteca OWASP ESAPI
    1. Módulo de Validação e Codificação
    2. Módulo de Autenticação
    3. Módulo de Controle de Acesso
    4. Módulo de utilitários HTTP
    5. Módulo de tratamento de referência de acesso
    6. Módulo de Criptografia
    7. Módulo de Log
    8. Módulo de Detecção de Intrusão
    9. Integrando o módulo AppSensor com a ESAPI
    10. Utilizando Filtros
    11. Configurando a ESAPI
    12. Módulo Web Application Firewall da ESAPI
  4. Vantagens do Uso da Biblioteca ESAPI
  5. Conclusões


O Instrutor

Tarcizio Vieira Neto é graduado em Ciência da Computação pela Universidade Federal de Goiás (UFG), em Goiânia. Começou a carreira de desenvolvedor como estagiário em um projeto de iniciação tecnológica financiado pelo CNPq na empresa Estratégia, em Goiânia. Após concluir a graduação trabalhou por seis meses na empresa Fibonacci Soluções Ageis, na mesma cidade, no cargo de analista de desenvolvimento. Em seguida trabalhou por dois anos e oito meses na Força Aérea Brasileira como oficial analista de sistemas do quadro complementar no Centro de Computação da Aeronáutica de Brasília, onde adquiriu experiência com a tecnologias de certificação digital e colaborou no desenvolvimento de um sistema corporativo de gestão eletrônica de documentos.

Atualmente trabalha no SERPRO desde novembro de 2009 como Analista de Desenvolvimento, na Coordenação Estratégica de Tecnologia – CETEC, desenvolvendo trabalhos sobre o tema segurança no desenvolvimento de software, desde novembro de 2009, onde dedica-se prioritariamente na elaboração de guias que padronizam técnicas e ferramentas que dão suporte à segurança no desenvolvimento de aplicações Web. Está cursando o curso de especialização em segurança da informação pela Universidade de Brasília (UnB) e possui ao todo mais de 5 anos de experiência com programação em Java.


The Art and Science of Threat Modeling Web Applications

Atenção: Este treinamento será ministrado em inglês SEM tradução simultânea.

Data e horário: 17 de Novembro (9 às 18 horas)
Instrutor: Mano Paul

Resumo

To secure your home, you will first need to know how the thief could possibly enter and exit and where you should store your valuables. The same is true of your web applications. Unless you know what the vulnerabilities and threats of your web applications are, and what security measures you should take to protect them, ev1L h@x0rS or the enemy within (insider) could take advantage of the vulnerabilities. Threat Modeling is a technique that you can use to identify ATVS (attacks, threats, vulnerabilities and safeguards) that could affect your web applications. Threat Modeling helps in designing your application securely from a confidentiality, integrity, availability, authentication, authorization and auditing perspective. It is an essential activity to be undertaken during the design stage of your SDLC and helps mitigate and minimize overall risk.


Público Alvo

O público alvo é composto por pessoal técnico e gerencial de organizações de desenvolvimento de sistemas, sem requisitos de conhecimento de linguagens ou metodologias de propogamação especificos.

Objetivos de Aprendizado

  1. Understand Threat Modeling; when to threat model and when not too
  2. Translation of threats to risks for the organization
  3. Have fun learning complex concepts with exercises and interactive games


Tópicos

Introduction

  1. Why Threat Model?
  2. Is Threat Modeling Right for You?
  3. Challenges
  4. Precursors
  5. Data Classification and Threat Modeling
  6. Web Application Security Mechanisms
  7. Benefits of Threat Modeling
  8. Common Glossary of Terms
  9. Threat Agents
  10. OWASP Top 10 and common application attacks
  11. Threat Modeling Process
  12. Attack Trees
  13. Threat and Risk Frameworks e.g., STRIDE and DREAD
  14. Threat to Risk translation
  15. Threat Modeling (Hands-On Exercise)


O Instrutor

Manoranjan (Mano) Paul is the Software Assurance Advisor for (ISC)2. His information security and software assurance experience includes designing and developing security programs from compliance-to-coding, security in the SDLC, writing secure code, risk management, security strategy, and security awareness training and education. He founded and serves as the CEO & President of Express Certifications. He also founded SecuRisk Solutions, a company that specializes in security product development and consulting.


Segurança em Arquitetura Orientada a Serviço

Treinamento em português.

Data e horário: 17 de Novembro (9 às 18 horas)
Instrutores: Douglas Rodrigues, Julio Cesar Estrella e Nuno Manuel dos Santos Antunes

Resumo

Web services são a pedra angular de Arquiteturas Orientadas a Serviços (SOA). Como componentes críticos de negócios, Web Services devem apresentar alta segurança. No entanto, a implantação de Web Services seguros é uma tarefa complexa. De fato, diversos estudos mostram que um grande número de Web Services são implantados com falhas de segurança que vão desde vulnerabilidades de código (por exemplo, vulnerabilidades que permitem a injeção de código, incluindo SQL Injection e XPath Injection) até a utilização incorreta das normas e protocolos de segurança. O objetivo desse minicurso é o de apresentar de forma teórica e prática ferramentas que permitem a detecção de vulnerabilidades e mecanismos e protocolos de segurança contra ataques.


Público Alvo

O público alvo é composto por pessoal técnico e operacional de organizações de desenvolvimento de sistemas, com requisitos de conhecimento de linguagens ou metodologias de propogamação especificos em nível intermediário.

Objetivos de Aprendizado

O minicurso proposto contribui para agregar novas tendências tecnológicas. O tema é bastante interessante no tocante aos grandes desafios da pesquisa em computação, uma vez que se insere de forma natural dentro do desenvolvimento tecnológico de qualidade, englobando por sua vez, sistemas disponíveis, corretos, seguros, escaláveis, persistentes e ubíquos, além de notoriamente, observando-se as conferências da área, que SOA, Web Services e segurança constituem tema de crescente investigação na área de computação, pois é atual e de interesse da comunidade acadêmica, bem como de profissionais que atuam amplamente no mercado de trabalho. O interesse por SOA tem crescido nos últimos anos por se tratar de uma abordagem que ajuda os sistemas a permanecerem escaláveis e flexíveis enquanto crescem, e que também pode auxiliar a resolver a lacuna negócio/TI. Os estudantes e profissionais da área terão a oportunidade de compreender os princípios básicos de detecção de vulnerabilidade em nível de código e também a detecção de ataques por meio de protocolos e mecanismos. A idéia é que os participantes possam utilizar o breve conhecimento adquirido neste minicurso para o desenvolvimento de aplicações distribuídas usando Web Services seguros e obterem conhecimento necessário para diagnosticar e prevenir ataques a esse tipo de aplicação.

Tópicos

  1. PADRÕES E PROTOCOLOS DE SEGURANÇA PAR WEB SERVICES
  2. ATAQUES EM WEB SERVICES
    1. Ataques de Negação de Serviço (Denial of Service)
    2. Ataques de Força Bruta (Brute force)
    3. Ataques Spoofing
    4. Ataques de Inundação (Flooding)
    5. Ataques por Injeção
  3. AVALIANDO SEGURANÇA EM WEB SERVICES
    1. Estudo de campo sobre segurança em Web Services
    2. Análise “White-box”
    3. Teste “Black-box”
    4. Teste “Gray-box”
    5. Estudo de campo sobre a eficácia de ferramentas de avaliação de segurança

O Instrutor

Júlio Cesar Estrella - Cursou Mestrado em Ciência da Computação e Matemática Computacional, na área de Sistemas Distribuídos (Instituto de Ciências Matemáticas e de Computação ICMC / Universidade de São Paulo – USP). Durante o Mestrado, trabalho com simulação de redes de filas em um projeto relacionado ao desenvolvimento de técnicas de negociação em modelos de servidores web com diferenciação de serviços. Doutor em Ciência da Computação e Matemática Computacional (Instituto de Ciências Matemáticas e de Computação ICMC / Universidade de São Paulo – USP). O tema do projeto de doutorado versou sobre arquiteturas orientadas a serviços com suporte à QoS, bem como caracterização de cargas de trabalho para Web Services e Composição de Serviços também com suporte à Qualidade de Serviço. Atualmente é professor da Universidade Tecnológica Federal do Paraná (UTFPR - Campo Mourão)

Douglas Rodrigues - Mestrando em Ciências de Computação e Matemática Computacional pelo Instituto de Ciências Matemáticas e de Computação da Universidade de São Paulo - ICMC-USP/São Carlos. Bacharel em Ciência da Computação pelo Centro Universitário Eurípides de Marília - UNIVEM - Marília/SP. Atua principalmente nos seguintes temas: SOA, Web Services, avaliação de desempenho, criptografia e segurança.

Nuno Manuel dos Santos Antunes - frequentou, entre 2003 e 2007, a Licenciatura em Engenharia Informática no Departamento de Engenharia Informática da Universidade de Coimbra. Desde 2008 que exerce investigação científica no grupo de Software and Systems Engineering (SSE) do Centro de Informática e Sistemas da Universidade de Coimbra (CISUC), em tópicos relacionados com metodologias e ferramentas para o desenvolvimento de Web Services sem vulnerabilidades. Concluiu em 2009 o Mestrado em Engenharia Informática no Departamento de Engenharia Informática da Universidade de Coimbra, com a classificação final de Muito Bom. Em 2009 iniciou o seu Doutoramento em Ciências e Tecnologias da Informação. Publicou 5 artigos científicos em conferências com processo de revisão pelos pares rigoroso, incluindo artigos nas conferências mais prestigiadas das áreas de confiabilidade e serviços.


Revisões de Segurança de Sistemas ASP.NET nos modos "black box" e "white-box" usando a plataforma OWASP O2

Este treinamento será ministrado em português usando materiais em inglês.

Data e horário: 16 de Novembro (9 às 18 horas)
Instrutor: Dinis Cruz

Resumo

This is a hands-on Training course on how to use the OWASP O2 Platform to perform both Black-Box and White-Box security reviews on ASP.NET Web Applications

The course is designed for security consultants/developers who are responsible for performing Penetration Tests or Security Code Reviews. The course will show practical examples of how to use the OWASP O2 Platform to find, exploit and document security vulnerabities.

For the course's labs, a number of test and real-world applications/frameworks will be used. In order to give the students a benign test enviroment which is easy to replicate, the (vulnerable-by-design) HacmeBank ASP.NET banking application will be used throughout the course.

Tópicos

  • What is the OWASP O2 Platform and how to use it?
  • Using O2's Unit Tests for web exploration and browsing
  • Using O2's Unit Tests for web exploitation
  • Understanding and using O2's Web Automation Tools to find and exploit vulnerabilities in HacmeBank (Black-Box)
  • Understanding and using O2's AST .NET Scanner to find vulnerabilities in HacmeBank (White-Box)
  • Connecting the source-code traces with the web exploits to create a unified view of the vulnerabilties
  • Create 'Vulnerability-driven Unit Tests' to be delivered to Developers, QA/Testers and Managers
  • Customizing and writing new APIs (for new or modified frameworks)
  • Using O2 to consume results from open source tools and 3rd party commercial vendors
  • Case Study: Microsoft ASP.NET MVC
  • Case Study: Microsoft Sharpoint


O Instrutor

The course is delivered by Dinis Cruz who the lead developer of the OWASP O2 Platform and has created and delivered a number of .NET Security training courses

Local dos treinamentos

A conferência será em Campinas, SP, na Fundação CPQD.

Veja a localização usando o Google Maps

Como chegar

TBD

Inscrições

Inscrições online

O formulário de inscrição está disponível em https://creator.zoho.com/lucas.ferreira/appsec/.

Valores

Apenas a conferência (dias 18 e 19/11):

  • Antes de 16 de setembro: R$ 400,00
  • Antes de 16 de outubro: R$ 500,00
  • Antes de 12 de novembro: R$ 550,00
  • No local: R$ 600,00

As inscrições no local estarão sujeitas à disponibilidade de lugares.

Treinamentos

  • Um dia: R$ 450,00
  • Dois dias: R$ 900,00

Descontos

  • Membro do OWASP: R$ 100,00 (Nota: Este desconto é maior do que a taxa anual de USD 50.00. Confira aqui
  • Estudantes: R$ 100.00 (Nota: Será necessário apresentar comprovante de matrícula).


Organização

Comitês

OWASP Global Conferences Committee Chair: Mark Bristow

Líder do Capítulo Brasileiro: Wagner Elias

Comissão organizadora do AppSec Brasil 2010 (organizacao2010 at appsecbrasil.org):

  • Conference General Chair: Lucas C. Ferreira
  • Tutorials Chair: Eduardo Camargo Neves
  • Tracks Chair: Luiz Otávio Duarte
  • Local Chair: Alexandre Melo Braga

Equipe

  • Alexandre Melo Braga
  • Eduardo Camargo Neves
  • Lucas C. Ferreira
  • Luiz Otávio Duarte
  • Wagner Elias
  • Eduardo Alves Nonato da Silva
  • Leonardo Buonsanti
  • Dinis Cruz
  • Paulo Coimbra

Comitê de Programa

  • Alexandre Braga
  • Carlos Serrao
  • Eduardo alves
  • Fernando Cima
  • Leonardo Buonsanti
  • Lucas Ferreira
  • Luiz Duarte
  • Nelson Uto
  • Rodrigo Rubira
  • Wagner Elias



Hospedagem

TBD

Links

Blog: http://blog.appsecbrasil.org

Twitter: http://twitter.com/owaspappsecbr

Notícias

Portal G1