Todos os posts tagados entrevista

Programas responsáveis de divulgação de vulnerabilidades – A continuação…

hammer

Dando continuidade ao tema referido no artigo sobre a possibilidade de um programa de divulgação de vulnerabilidades em Portugal, questionei Sérgio Silva, do Conselho Superior da Magistratura, sobre a opinião e o seu ponto de vista legal destes programas.

Que funções desempenha atualmente no Conselho Superior da Magistratura?

Coordenador da Unidade de Informática do Conselho Superior da Magistratura.

Qual é a sua opinião em relação aos programas responsáveis de divulgação de vulnerabilidades em Portugal?

Tendo em conta o panorama actual da segurança informática em Portugal associado à fraca consciencialização para esta temática este tipo de programas serão muito complicados de implementar . As empresas/entidades não reagem bem a possíveis alertas sobre falhas nos seus sistemas e muitas vezes quem faz o aviso fica com uma serie de problemas.

Numa conversa anterior, referiu que, mesmo que a empresa com estes programas, contratualizar quem testa as vulnerabilidades, é difícil diferenciar o que entra no programa e um possível ataque real. Existem soluções para este tipo de problema?

É uma questão muito complicada dado que quem testa pode sempre tornar-se num atacante real. A solução passaria por uma credenciação de quem poderia aderir a esse programa, ou seja a criação de uma comunidade portuguesa devidamente identificada que estaria autorizada a fazer os testes de vulnerabilidades das empresas que tivessem integradas em programas responsáveis de divulgação de vulnerabilidades em Portugal.

A atual lei portuguesa não prejudica a comunidade infosec?

A legislação Portuguesa, Lei n.º 109/2009 de 15 de Setembro, em matéria de Cibercrime é das mais completas e avançadas a nível europeu, basicamente todos as técnicas usadas pela comunidade infosec podem ser tipificadas nos vários artigos da referida lei .
O simples facto de alterar uma url de forma a produzir um erro, como por exemplo uma falha de SQL , pode ser considerada como tentativa de acesso ilegítimo e punida com pena de prisão até 1 ano ou com pena de multa até 120 dias.
No entanto e como é referido no nº6 no artigo 6.º da Lei n.º 109/2009 o procedimento penal depende de queixa, ou seja quando alguém da comunidade infosec descobre uma vulnerabilidade e a reporta corre o risco de que a entidade a quem reporta o erro fazer queixa.
A lei Portuguesa não prejudica em nada a comunidade infosec, o que prejudica é mais uma vez a falta de consciencialização dos “donos dos sistemas”, o investimento em segurança informática é muito diminuto e muitas vezes nulo, Portugal ainda não despertou em termos de Ciber Segurança e isso sim prejudica a comunidade infosec.

Para terminar, qual a sua opinião em relação à segurança dos sites governamentais. São constantes os sites desfigurados a várias entidades do governo. Será que não estamos todos em risco?

Penso que não existe uma grande diferença entre sites desfigurados governamentais e empresariais, o que difere é que um defacement num site governamental tem sempre mais impacto nos media do que num site empresarial.
Do meu ponto de visa as razões que levam a que este tipo de ataque tenha sucesso prende-se com o facto de que pura e simplesmente as plataformas são postas online e depois não existem procedimentos de monitorização ou de actualizações dos sistemas, quase nunca estão previstas nos contratos.
Actualmente é possível ver sites com vulnerabilidades que foram descobertas à mais de 3 anos e que já deviam ter sido corrigidas.
Outra questão é que quando se usam plataformas de CMS e é aplicado um template nem sempre se verifica a origem desse template ou se existe algo que possa comprometer o site no código do template.
Respondendo se estamos todos em risco a resposta é sim .
No entanto não tem a ver com sites governamentais onde são feitos defacement, tem sim a ver com a falta de estratégia a nível nacional na área da segurança informática e de um ecossistema de desenvolvimento de sistemas de informação em que a segurança informática não é a base mas sim um acessório.
Basicamente estamos a construir castelos e só no fim é que nos lembramos que deveríamos ter um fosso para impedir o ataque dos inimigos quando na lógica da estratégia defensiva o fosso deveria ser a primeira coisa a ser construída.

Agradeço ao Sérgio a disponibilidade que teve em responder ao WebSegura.net e a esclarecer algumas dúvidas que existiam na comunidade infosec.

Entrevista com… Brian Krebs

brian_krebs

Para que não conhece o Brian Krebs, é um jornalista americano que se dedica à investigação de temas relacionados com a segurança de informação. É o autor do blog – KrebsOnSecurity.com – onde publica esquemas fraudulentos que geram milhões e milhões de dolares aos utilizadores maliciosos.
Pessoalmente sigo o KrebsOnSecurity.com há alguns anos e penso que, o trabalho que ele publica no seu site diariamente, contribui para uma web mais segura e justa.
Tive o prazer de trocar algumas palavras com o Brian e questioná-lo sobre alguns temas.

És atualmente um dos jornalistas de segurança informática mais populares da web. Quais foram os motivos que te levaram a seguir essa carreira?

Puro fascinio sobre o assunto e uma percepção de que havia pouca compreensão de como funciona o underground. Tal como a razão do cibercrime ter tanto impacto em todos os utilizadores e organizações no planeta. Isto mantém-se o foco central das minhas reportagens: educar as empresas e os utilizadores sobre o papel dos mesmos no cibercrime. Para o bem ou para o mal, se não estão a trabalhar para fazer parte da solução, eles são parte do problema. Infelizmente, a maior parte das pessoas (e, por extensão as organizações) requerem uma catastrofe antes de chegarem a conclusão que devemos levar a cibersegurança seriamente e como fazendo parte das nossas vidas.

No teu blog, KrebsOnSecurity.com, divulgas esquemas fraudulentos que causam danos para milhões de utilizadores. Não tens receio que os utilizadores maliciosos virem a atenção para ti? Já foste vítima de Swatting. Não achas que pode voltar acontecer?

Desde o incidente de Swatting, tive a sorte de desenvolver uma relação próxima com as autoridades locais, por isso penso que a polícia não será novamente enganada noutra tentativa de swatting na minha residência. Mas de certeza que os criminosos têm outras maneiras de complicar a minha vida. Infelizmente, é algo que vem com este trabalho.

Como consegues manter e separar as diferentes identidades no teu dia-a-dia? (pergunta enviada por Jorge Moura)

Eu não uso multiplas identidades. Eu identifico-me sempre como jornalista e utilizo sempre o meu nome quando procuro comentários de pessoas. Eu penso que posso ser desculpado por não ter usado a minha verdadeira identidade quando estou a escolher usernames em foruns no cibercrime, onde basicamente sou pouco mais de um lurker [alguém que apenas visualiza os fóruns e não insere posts]. São diversas as vezes que tentei registar-me com o meu nome real, no entanto descubro sempre que o meu nome já está ocupado.

Tens alguma experiência de trabalho com portugueses da área de segurança?

Não tenho a certeza. Provavelmente, mas geralmente as pessoas não me informam quem são e donde são. Eu escrevi sobre um tipo, no inicio deste ano, que estava a correr um serviço intitulado de Indexeus – que estava desenhado para servir de motor de busca para leaks – que dizia que era de Portugal. Mas não tenho a certeza.

O Brian, lançou recentemente o livro Spam Nation. Esta obra fala da luta entre duas grandes organizações criminosas responsáveis pela maior percentagem do Spam mundial. Ele escreve na primeira pessoa a sua investigação ao longo do livro com conversas com os criminosos e as ligações politicas dos mesmos com governos e forças de segurança. O acesso exclusivo a leaks e a colaboração dos criminosos para divulgarem os seus negócios, deram a Brian uma visão nunca vista até hoje.
É um livro empolgante, em que o leitor fica sempre com curiosidade de saber o passo seguinte. Uma viagem ao mundo do crime online, onde as mentiras, o dinheiro e a corrupção reinam diariamente.
Gostava de destacar uma área do livro em particular – Pharma Wars – onde serviu de inspiração para a elaboração do meu artigo Pharma Hacks em Portugal.

Aproveitanto a oportunidade do lançamento do seu novo livro – Spam Nation, decidi fazer-lhe umas questões em relação à sua obra.

O que te levou a escrever o Spam Nation?

É o produto de um velho ditado, “Se existe um livro que ainda não foi escrito, e tu és o único que pode escrevê-lo, então tens de escrevê-lo”. Os líderes de duas enormes organizações do cibercrime decidiram “lutar” entre elas pagando a hackers para entrar nas operações e divulgar leaks gigantes de volumes de informação a entidades policiais e a mim – incluindo emails, chats, registos bancários, etc. Essa informação forneceu uma visibilidade incomparável das redes underground que fomentaram e perpeturam muito do cibercrime que temos visto na última década até aos dias de hoje. Armado com esse ponto de vantagem único, seria uma boa questão – “Porque não escrever este livro?”

Para que audiência é dirigido o livro Spam Nation?

É dirigido para qualquer um interessado em segurança informática e para todos os outros desde o chefe da empresa, até ao comum utilizador. Os leitores regulares têm que compreender – do ponto de vista do hacker – que eles são apenas uma fonte e um meio para atingir um fim. O cibercrime não é pessoal, é um produto de uma entidade ou de um particular que não está ciente do verdadeiro valor dos seus sistemas, porque o atacante certamente o sabe. Podemos passar o dia a pensar no assunto – se as companhias que produzem software vulnerável devem ou não ser responsabilizadas pelos produtos (vulneráveis) que oferecem e que os utilizadores devem fazer parte da solução para a resolução do problema (uma verdade inegável). No fundo é um tema complicado com cenários utópicos, onde na vida real as coisas (funcionam) são diferentes.

É bastante mau que o utilizador comum seja desarmado e derrotado contra as ameaças de hoje; mas este também desconhece completamente a sofisticação do ataque que enfrenta, além disso não tem esperança em manter os seus sistemas e dados seguros. Assim, a segurança começa com uma sensibilização da centralidade das nossas identidades na rede, computadores e dados desempenham em relação a tudo o que fazemos no mundo real.
Conhecimento é poder, e uma boa quantidade de conhecimento e interesse na sofisticação e motivação dos hackers que possam comprometer e usar essa informação para seu benefício é algo bastante poderoso, até digo que é uma ferramenta fundamental para consumidores e empresas para evitar serem as próximas vítimas.

Achas que hoje em dia os utilizadores preocupam-se com as mensagens de Spam ou chegou ao ponto em que o utilizador ignora e não faz nada? Não achas que os utilizadores têm um papel importante para combater estas mensagens não solicitadas?

Querendo ou não admiti-lo, ou reconhece-lo até, o Spam continua provavelmente o maior vetor para os ataques online maliciosos. É verdade que muitos ISPs e fornecedores de email têm vindo a controlar melhor o problema nestes úlitmos anos, mas o problema global do Spam continua a ser ditado geograficamente. Isto é, o tipo de Spam e perigo do mesmo depende do teu país. De qualquer forma, é inegável que, independentemente do que tu pensas sobre o Spam comercial ou email malicioso, continua a ser um grave perigo presentemente. Os utilizadores maliciosos estão cada vez melhores a elaborar esquemas cada vez mais convincentes. Então é importante lembrar que o termo Spam não se limita apenas ao email comercial não solicitado. O termo abrange um maior espaço de ameaças, incluindo phishing, malware, e ataques direcionados que combinam malware e phishing.

Na tua opinião que devem fazer os Governos para combater o Spam e fecharem o negócio ilegal descrito no Spam Nation?

A chave como noutra tentativa de parar e fechar atividades ilegais centra-se no foco da monetização da atividade ilegal. No caso do Spam comercial que eu descrevi no livro, focar a atenção nos bancos que assistem este tipo de redes criminais no processo de pagamento é suficiente para fazer uma mossa no problema.
Também existem plataformas para os titulares de marcas bancárias e outros gestores na equação do problema, tudo isto para que seja mais difícil para estas organizações criminosas processarem os pagamentos por serviços anunciados no Spam. Mas no final é necessários que os bancos trabalhem em conjunto para reportar estas atividades numa base consistente e implacável. Isto pode ser feito sem novas leis e sem dar poderes adicionais às forças de segurança, uma vez que faz parte de um dever civil. A Visa e Mastercard e outras empresas de cartões bancários podem derrubar este problema mas cabe às marcas (farmácias, produtores de Software, detentores de marcas, etc) unirem-se e apresentar queixas com as empresas de cartões para que possam formalizar contratos com bancos que prestem serviço a este tipo de atividades ilegais. Esses contratos exigem multas pesadas aos bancos que facilitem este tipo de atividades, mas sem essa pressão, haverá sempre instituições bancarias disposta a fazer este tipo de serviço a entidades fraudulentas.

Peço desculpa por eventuais erros na tradução da entrevista. No entanto deixo aqui o link para o Scribd com a entrevista original em inglês.

Gostaria de agradecer ao Brian Krebs pelo tempo disponibilizado e pela simpatia que demonstrou na pequena conversa. Agradeço também à editora SourceBooks por me ter fornecido uma cópia do livro e assim ter-me dado a oportunidade de ler o Spam Nation em primeira-mão.

Entrevista com… Luis Grangeia

Entrevista com... Luis Grangeia

Na comunidade de infosec internacional, um nome tem feito destaque nas notícias – Luís Grangeia.

Resumidamente, o Luis conseguiu obter uma nova forma de explorar o Heartbleed, mostrando que o Android e os routers wireless estão vulneráveis a este bug.
Estive à conversa com o autor desta descoberta no qual transcrevo:

O que te levou a explorar o “Hearbleed” e a criar o “Cupid”?

Basicamente pus-me a pensar em situações em que o heartbleed pudesse ser explorado de formas diferentes, situações de vulnerabilidade para as quais ninguém tivesse ainda forma de validar, e esta situação foi a primeira que me surgiu e em que pensei: “isto pode estar vulnerável em vários dispositivos, mas não tenho qualquer forma testar”. E pus-me ao trabalho.

Achas importante a divulgação pública deste tipo de vulnerabilidades?

Claro. Aliás, na minha pesquisa sobre isto encontrei pelo menos duas pessoas que já tinham feito (ainda que parcialmente) o mesmo que eu me propunha fazer mas que se recusavam a publicar a ferramenta. Há argumentos para ambos os lados da barricada, e parcialmente percebo os deles, mas explico os meus:

Eu quis criar esta prova de conceito para, primeiro, perceber para mim e para os clientes da SysValue que tipo de equipamentos estariam vulneráveis, e se o ataque era possível. Depois de fazer o patch cheguei à conclusão que este seria útil a mais pessoas que estariam interessadas em proteger as suas redes e identificar situações vulneráveis. Por isso publiquei. Pelo caminho ajudei a trazer atenção para este assunto e, espero, pus alguma pressão sobre gestores de redes e fornecedores de tecnologia Wireless a garantir que esta “avenida de ataque” fica fechada rapidamente.

O argumento de este patch poder ser utilizado de forma maliciosa não é muito defensável, na minha opinião. O patch que fiz nao é “point & click”, requer algum conhecimento para executar o ataque, mesmo com o código que disponibilizei. Além disso atacantes que tenham conhecimentos básicos sobre EAP e TLS rapidamente iriam criar uma ferramenta igual ou melhor que a minha.

A divulgação desta falha teve grande impacto nos sites da especialidade internacional. Tiveste algum feedback? E em Portugal?

A divulgação da falha teve bastante impacto, sim, algo que não esperava. Acho que começou sobretudo com o artigo no The Verge. Os meus slides foram apresentados na Confraria e foram feitos nesse espírito de boa disposição. Fi-los em inglês porque tinha intenção de twittar sobre o assunto pois acho que teria algum interesse na comunidade de infosec, mas nunca pensei que o assunto fosse ter o alcance que teve.

É engraçado pois já estou nesta área há uns anos e acho que se tivesse publicado esta pesquisa há 5 anos não teria um décimo do alcance que teve. O facto de o público em geral estar cada vez mais interessado nestes assuntos traz consigo algum peso. A comunidade de infosec deve assumir essa responsabilidade e tentar informar o melhor possível. Claro que nem sempre é possível dada a inevitável distorção dos media generalistas… Mas temos de assumir essa responsabilidade, e tentar informar o melhor possível. Sem minimizar nem exagerar os riscos.

Falas da distorção dos media generalistas… Achas que a comunidade infosec devia preparar ou formar jornalistas para esta área que cada vez está mais presente nas nossas vidas?

Acho que quem lê tem de ser mais exigente, o que nem sempre é possível pois na segurança de informação (assim como em todas as áreas mais técnicas) existe um desnível de informação muito grande. O ónus de informar e de esclarecer é dos jornalistas, afinal de contas é o trabalho deles… É deles que deve partir a iniciativa de exigir aos especialistas que “troquem as coisas por miúdos”… E evitar cair no sensacionalismo, o que em segurança de informação é muito fácil de fazer pois tocam-se zonas sensíveis e muito dadas a respostas emocionais como a privacidade dos nossos dados, a segurança da nossa identidade online, etc.

O que acontece é que, como há um desnível muito grande de informação, há muitos “especialistas” ou “hackers” que vendem histórias aos jornalistas completamente exageradas ou que nada têm a ver com a realidade. E o jornalista muitas vezes cai (ou deixa-se cair) na armadilha para o sensacionalismo fácil. Mas felizmente, e precisamente por causa da maior exigência da parte de quem lê, cada vez mais jornalistas validam os fatos com fontes de confiança. E aí é bom haver especialistas reconhecidos que possam ser consultados para dar credibilidade ao que é relatado (e associações como a AP2SI — ou até iniciativas como a Web Segura).

Achas que Portugal está preparado para assumir um papel mais activo na segurança de informação?

Depende do que estivermos a falar, essa pergunta dá pano para mangas. Portugal está bastante avançado em termos de segurança da informação, dependendo para onde olhemos. Por exemplo, os bancos online portugueses estão, comparativamente falando, relativamente bem apetrechados para lidar com ataques de phishing e malware. Já o estado, como Portugal historicamente não é um alvo interessante do ponto de vista de espionagem, sabotagem, etc., está bastante atrás de “gigantes” como os EUA, Israel, China, Inglaterra.

Temos coisas boas e coisas más. Acho que nos temos adaptado bem às ameaças, mas há ainda muito trabalho por fazer. E nunca vai estar tudo feito, pois a segurança (nas vertentes de defesa e ataque) tem de se adaptar continuamente às ameaças, que mudam constantemente.

Fico o meu agradecimento ao Luis Grangeia pela disponibilidade e fico aguardar por novos sucessos.

Entrevista com… Tiago Henriques

Entrevista com... Tiago Henriques

Como o projeto WebSegura.net sempre teve como finalidade apoiar o que é nacional, decidi dar a conhecer um pouco melhor o líder do nosso parceiro PTCoreSec.
Um grupo que recentemente tem demonstrado bastante atividade na área da segurança de informação, em particular, com a presença constante em eventos da área.

David Sopas: Fala-me um pouco de ti e como decidiste seguir a área da segurança de informação como rumo profissional.
Tiago Henriques: O meu nome é Tiago Henriques, tenho24 anos e trabalho de momento para a Sysvalue, enquanto que no meu tempo livre lidero a PTCoreSec. O meu interesse por Infosec veio já um bocado tarde na minha opinião (16/17 anos). Sempre gostei imenso de programação, mas chegou a um ponto em que achei mais interessante ver como poderia partir coisas e depois tentar consertar, perceber como funcionavam internamente e o que poderia ser melhorado. Quando fiz 18 anos, estava no fim do meu 12º ano e estava um bocado cansado de estar aqui no país, vivia numa cidade pequena (Lagos) e resolvi que precisava de uma mudança de ar. Concorri a uma faculdade em Inglaterra (University of Brighton) e acabei por ser aceite num BSc Software Engineering, que completei em 3 anos. No verão desse ultimo ano, fui a Las Vegas à Defcon e foi então que decidi que queria tambem fazer um mestrado. Desta vez já focado em Infosec, passei para outra faculdade (University of Bedfordshire) onde fiz um MSc by Research in Information Security and Forensics e comecei a dar aulas aos alunos de licenciaturas (nesta altura tinha eu 21 anos). Quando estava quase a terminar o meu mestrado (23 anos), foi-me oferecida uma proposta para fazer um doutoramento com bolsa, que inicialmente aceitei (e onde permaneci 3 meses). No entanto ao fim desses 3 meses percebi que não era bem aquilo que queria e resolvi ir para a industria. Foi então que entrei para a Realex payments na Irlanda e trabalhei ao lado do @SecurityNinja a fazer auditorias de código.
Passado algum tempo, infelizmente, foi-me diagnosticado um cancro no tórax e tive que voltar para Portugal. Fiz os meus tratamentos e no final resolvi ficar por cá – foi então que entrei para a empresa onde trabalho agora, a Sysvalue.

DS: Que área da segurança de informação desperta-te mais curiosidade?
TH: De momento tenho 2 áreas principais que me dão mais “pica” em Segurança:

  • Descoberta de vulnerabilidades e desenvolvimento de exploits, reverse engineering e fuzzing.
  • Segurança de redes (netsec) e port-scanning( A nível de um país completo ou continente, protocolos mais vulneráveis etc…)

DS: Quem são os PTCoreSec? Qual o objetivo do grupo?
TH: A PTCoreSec é um projecto criado por mim e pelo Tiago Martins no ano passado, quando resolvemos que queriamos ter um grupo decente para poder trabalhar nesta área (uma espécie de think tank), com qual iriamos desenvolver ferramentas, publicar artigos e principalmente APRENDER mais, de maneira a evoluirmos nesta área. Não fazemos nada ilegal, e queremos apenas (como diz no nosso site):

  • Aficionados por segurança
  • Portugueses
  • Interessados em partilha de conhecimentos.

A ultima parte passa pela partilha de todo o código fonte das nossas ferramentas que temos escrito e pela criação de tutoriais que são acessíveis a qualquer tipo de publico (técnico ou não técnico).

Podem ler a entrevista na integra aqui.

Recomendo seguirem a página de Facebook dos PTCoreSec para que desta forma possam acompanhar as últimas novidades do grupo.
Fica o meu agradecimento ao Tiago pela disponibilidade e, principalmente, pelo que tem feito em nome da segurança de informação em Portugal.

Entrevista com… Carlos Serrão

Entrevista com... Carlos Serrão

Após entrevistas a Peleus Uhley e Robert ‘RSnake’ Hansen calha a vez de um português… Carlos Serrão, líder do capítulo português da OWASP.
Nesta entrevista, Carlos fala da OWASP e do atual estado da segurança da informação em Portugal.

David Sopas: O que é OWASP?
Carlos Serrão: OWASP significa “Open Web Application Security Project” e é uma fundação americana (mas de alcance global e geral) que se encarrega de dinamizar uma comunidade internacional em torno de um princípio comum: a segurança nas aplicações Web (embora ultimamente o foco seja a segurança aplicacional em geral). São muitas as iniciativas da OWASP, que oferece documentação, ferramentas, projetos, eventos e muitos outros. Mais fácil do que estar aqui a enunciar cada um deles, para mais informação sobre a OWASP é só apontar o browser para www.owasp.org.
A OWASP é caracterizada por ser uma comunidade aberta, livre à participação de todos e que se baseia no modelo de que tudo o que é produzido pela comunidade sobre o “chapéu” da OWASP reverte em favor da mesma (e não só).
A OWASP, e em especial o OWASP Top 10, tem vindo a afirmar-se cada vez mais como uma referência a nível internacional, e é muito fácil encontrar hoje este Top 10 em cadernos de encargos de desenvolvimento aplicacional para a Web.

DS: Como chegaste a líder do charter PT da OWASP?
CS: Bem, em primeiro lugar não gosto muito da designação de líder. Parece-me um título exagerado e o qual acho que não mereço. Considero-me mais uma espécie de dinamizador ou de evangelista, que tenta fazer passar para terceiros as principais mensagens da OWASP e promover a sua missão, em especial no que diz respeito à comunidade local.
Como o “chapter” da OWASP PT foi criado prende-se um pouco com uma coincidência feliz. Andava eu a fazer algum trabalho de investigação no âmbito da minha Tese de Doutoramento, quando conheci pela primeira vez a OWASP e o site da organização. Depois de mais algum estudo do mesmo, cheguei à conclusão de que era uma comunidade muito interessante (composta por algumas empresas e profissionais muito reconhecidos no sector) e que o trabalho que desenvolvia era meritório de elevado crédito. Por outro lado, verifiquei que a OWASP adoptava uma organização muito horizontal e descentralizada, como forma de chegar aos quatro cantos do Mundo, permitindo a constituição de diversos “chapters” (delegações) locais e regionais. Verifiquei igualmente, que o nosso “cantinho à beira mar plantado” não fazia ainda parte do“ecossistema” da OWASP.
Resolvi por isso na altura propor à OWASP e a mim mesmo a criação de “chapter” da OWASP nacional, o qual tenho vindo a tentar dinamizar até agora.
Infelizmente, o tempo por vezes não abunda, e umas vezes mais depressa, outras um pouco mais devagar, o “chapter” local tem vindo a crescer, quer em termos de iniciativas ,quer em termos de membros da própria OWASP.
O modelo de liderança do nosso “chapter” é algo sobre o qual já me tenho debruçado, e que precisa de ser repensado, como forma de aumentarmos o dinamismo e o crescimento da própria organização. Penso que o modelo mais adequado para isto, é termos uma estrutura diretiva, não muito formal, mas constituída por entre três a cinco elementos, que durante um determinado período de tempo fixo, assumissem o papel de uma Direção paraa OWASP Portugal. É algo de facto a considerar nos próximos tempos.
Não me considero por isso, de todo um líder, mas antes alguém que tenta dinamizar (quando o tempo abunda), a comunidade portuguesa que possa ter interesse nestes tópicos relacionados com a segurança aplicacional Web.

Enfim, vai-se fazendo o possível… :-)

Para consultar a restante entrevista, cliquem aqui.

Gostaria de agradecer ao Carlos Serrão pela disponibilidade e pela simpatia que sempre mostrou com o projecto WebSegura.net.