Todos os posts tagados owasp

OWASP EU Tour 2013 Lisbon

OWASP EU Tour 2013 Lisbon

A OWASP está a organizar uma tour europeia com pessoal envolvido na OWASP e com outras membros da comunidade da segurança de informação com enfoque na segurança aplicacional. Esta “tour” está a ser organizada centralmente pela OWASP, mas conta com a colaboração dos chapter locais para a organização local.

O chapter português faz igualmente parte deste “tour” e a nosso evento tem lugar no próximo dia 21 de Junho, no ISCTE-IUL, da parte da tarde. Podem consultar toda a informação no seguinte local, onde está já igualmente um draft da agenda.

https://www.owasp.org/index.php/EUTour2013_Lisbon_Agenda#OWASP_Europe_Tour_-_Lisbon_2013

O evento, é absolutamente gratuito, e precisam apenas de se inscrever para poderem estar presentes (isto porque os lugares são limitados). O registo pode ser feito aqui: http://owaspeutour2013lisbon.eventbrite.pt

 

Entrevista com… Carlos Serrão

Entrevista com... Carlos Serrão

Após entrevistas a Peleus Uhley e Robert ‘RSnake’ Hansen calha a vez de um português… Carlos Serrão, líder do capítulo português da OWASP.
Nesta entrevista, Carlos fala da OWASP e do atual estado da segurança da informação em Portugal.

David Sopas: O que é OWASP?
Carlos Serrão: OWASP significa “Open Web Application Security Project” e é uma fundação americana (mas de alcance global e geral) que se encarrega de dinamizar uma comunidade internacional em torno de um princípio comum: a segurança nas aplicações Web (embora ultimamente o foco seja a segurança aplicacional em geral). São muitas as iniciativas da OWASP, que oferece documentação, ferramentas, projetos, eventos e muitos outros. Mais fácil do que estar aqui a enunciar cada um deles, para mais informação sobre a OWASP é só apontar o browser para www.owasp.org.
A OWASP é caracterizada por ser uma comunidade aberta, livre à participação de todos e que se baseia no modelo de que tudo o que é produzido pela comunidade sobre o “chapéu” da OWASP reverte em favor da mesma (e não só).
A OWASP, e em especial o OWASP Top 10, tem vindo a afirmar-se cada vez mais como uma referência a nível internacional, e é muito fácil encontrar hoje este Top 10 em cadernos de encargos de desenvolvimento aplicacional para a Web.

DS: Como chegaste a líder do charter PT da OWASP?
CS: Bem, em primeiro lugar não gosto muito da designação de líder. Parece-me um título exagerado e o qual acho que não mereço. Considero-me mais uma espécie de dinamizador ou de evangelista, que tenta fazer passar para terceiros as principais mensagens da OWASP e promover a sua missão, em especial no que diz respeito à comunidade local.
Como o “chapter” da OWASP PT foi criado prende-se um pouco com uma coincidência feliz. Andava eu a fazer algum trabalho de investigação no âmbito da minha Tese de Doutoramento, quando conheci pela primeira vez a OWASP e o site da organização. Depois de mais algum estudo do mesmo, cheguei à conclusão de que era uma comunidade muito interessante (composta por algumas empresas e profissionais muito reconhecidos no sector) e que o trabalho que desenvolvia era meritório de elevado crédito. Por outro lado, verifiquei que a OWASP adoptava uma organização muito horizontal e descentralizada, como forma de chegar aos quatro cantos do Mundo, permitindo a constituição de diversos “chapters” (delegações) locais e regionais. Verifiquei igualmente, que o nosso “cantinho à beira mar plantado” não fazia ainda parte do“ecossistema” da OWASP.
Resolvi por isso na altura propor à OWASP e a mim mesmo a criação de “chapter” da OWASP nacional, o qual tenho vindo a tentar dinamizar até agora.
Infelizmente, o tempo por vezes não abunda, e umas vezes mais depressa, outras um pouco mais devagar, o “chapter” local tem vindo a crescer, quer em termos de iniciativas ,quer em termos de membros da própria OWASP.
O modelo de liderança do nosso “chapter” é algo sobre o qual já me tenho debruçado, e que precisa de ser repensado, como forma de aumentarmos o dinamismo e o crescimento da própria organização. Penso que o modelo mais adequado para isto, é termos uma estrutura diretiva, não muito formal, mas constituída por entre três a cinco elementos, que durante um determinado período de tempo fixo, assumissem o papel de uma Direção paraa OWASP Portugal. É algo de facto a considerar nos próximos tempos.
Não me considero por isso, de todo um líder, mas antes alguém que tenta dinamizar (quando o tempo abunda), a comunidade portuguesa que possa ter interesse nestes tópicos relacionados com a segurança aplicacional Web.

Enfim, vai-se fazendo o possível… :-)

Para consultar a restante entrevista, cliquem aqui.

Gostaria de agradecer ao Carlos Serrão pela disponibilidade e pela simpatia que sempre mostrou com o projecto WebSegura.net.

Identifique os diferentes tipos de ataques a sites

No IDG Now! está publicado um artigo dos mais diversos tipos de ataques a sites com base numa compilação do Wikipedia.

Uma boa compilação que complemente com a leitura do OWASP Top Ten Project.

Ataque ao Citigroup foi explorado com falha do Top 10 da OWASP

Segundo um investigador de segurança, os utilizadores maliciosos que comprometeram cerca de 200.000 detalhes de conta de clientes do Citigroup utilizaram uma falha Insecure Direct Object (4ª falha no top10 da OWASP) para atingir o objectivo.

De facto, acho ridículo empresas desta dimensão estarem vulneráveis a falhas deste género… Esperemos que aprendam a lição.

Boa Páscoa a todos

Desejo a todos os amigos e seguidores do Web Segura, uma Boa Páscoa.

Aproveitem o fim de semana prolongado para realizar cópias de segurança e mudar palavras passe.

Também deixo aqui referência a um novo desafio de segurança web, elaborado por alguns membros da OWASP, que podem valer uma entrada grátis no OWASP AppSec Europe 2011 a realizar na Irlanda.