tag:blogger.com,1999:blog-12432660501382622942024-03-12T20:27:42.129-03:00PseudorandomAlguns pensamentos (pseudo-)aleatórios.Lucashttp://www.blogger.com/profile/08800032441644166513noreply@blogger.comBlogger80125tag:blogger.com,1999:blog-1243266050138262294.post-61501823237933140932013-05-12T02:05:00.001-03:002013-05-12T02:06:23.904-03:00Observações sobre o ensino no BrasilUm amigo recentemente compartilhou um <a href="http://physicsact.wordpress.com/2009/03/27/richard-feynman-e-o-ensino-da-fisica-no-brasil/">post sobre as observações de Richard Feynman sobre o ensino de física no Brasil dos anos 50</a> e sobre como os problemas que ele observou ainda são visíveis no Brasil de hoje.<br />
<br />
O post me fez pensar um pouco sobre as experiencias da minha família com o ensino de primeiro e segundo graus no Brasil e no exterior. A gente discute bastante as diferenças que temos notado com relação às questões curriculares e também às atividades extra classe.<br />
<br />
Primeiro algumas constatações similares às de Feynman: o ensino no Brasil tem um viés mais "conteudista"(odeio essa palavra, mas não achei nenhuma melhor...). Isso vem tanto da nossa observação das atividades desenvolvidas por nossos filhos quanto da comparação dos requisitos curriculares.<br />
<br />
Desde que nos mudamos, temos a preocupação em manter o curriculo escolar das crianças compatível com os requisitos da legislação brasileira para facilitar a validação do diploma ao voltarmos ao Brasil. No caso do DF, onde morávamos, a regra é que o curriculo cursado no exterior tem de ser similar às definições das Diretrizes Curriculares Nacionais para o Ensino Médio. Assim, tivemos de estudar as diretrizes curriculares para ver como deixar o currículo daqui o mais "similar" possível.<br />
<br />
A primeira diferença é a flexibilidade. A única opção que a legislação brasileira deixa para os alunos de segunda grau é a escolha da língua estrangeira. Já o esquema americano se baseia no ensino de língua materna e matemática como obrigatórios e deixa muitas opções para os alunos montarem o seu currículo. Um exemplo concreto: enquanto a lei brasileira exige o ensino de física, química E biologia, a escola daqui permite que o aluno escolha apenas duas das ciências em cada ano. Nas áreas de humanas a diferença é ainda maior: no Brasil exige-se história, geografia, sociologia E filosofia; o currículo daqui inclui uma disciplina de "humanities", que agrega as diversa áreas de humanas. Em compensação a ênfase em matemática e na língua materna aqui é muito maior.<br />
<br />
Ao menos no papel, o currículo brasileiro é muito mais abrangente e completo. Mas aí entra a crítica de Feynman que, já nos anos 50, percebeu que a ênfase brasileira em conteúdo não é acompanhada de uma compreensão mais aprofundada dos princípios básicos. A observação de Feynman sobre a falta de experimentos no ensino de física no Brasil pode ser, pela nossa experiência, extrapolada para o ensino das demais ciências. Se no Brasil as crianças faziam uma ou, no máximo, duas visitas ao laboratório de ciências da escola por ano, aqui as aulas de ciências se dão no próprio laboratório. Enquanto no Brasil o ensino de biologia se dava com o profesor mostrando modelos de plástico dos órgãos, aqui os alunos dissecam corações ou olhos (um para cada dupla ao invés de um único manipulado apenas pelo professor).<br />
<br />
Outro ponto que muito nos chamou a atenção é que as escolas e as turmas aqui são bem menores. A escola atual é considerada grande por aqui: tem 1500 alunos do maternal ao segundo grau. A escola brasileira tinha cerca de 5000 alunos, sem contar com o segunda grau, que era em um prédio separado. Nas salas de aula, enquanto no Brasil turmas de 4a série (5o ano) com 40 a 45 alunos eram consideradas "normais" pela escola, aqui as turmas tem no máximo 20 alunos, muitas vezes menos, mesmo no segundo grau. Aulas especializadas podem ter apenas 3 alunos em alguns casos.<br />
<br />
O tamanho das turmas afeta a capacidade dos professores no ensino de ciências (e outras matérias, obviamente), em especial a capacidade de promoverem aulas em laboratórios. Alguém consegue imaginar uma aula em laboratório com 40 alunos de 5a série?<br />
<br />
O tamanho das turmas e a quantidade de alunos na escola afetam também a capacidade dos professores de ter um acompanhamento mais próximo do desempenho e da evolução de cada aluno. Enquanto no Brasil a escola pedia para os pais levarem os alunos nas "reuniões" periódicas com os professores para facilitar que os professores reconhecessem cada aluno, aqui basta o nome. O acompanhamento é muito mais próximo das dificuldades e facilidades dos alunos.<br />
<br />
Até por se tratar de um escola internacional, a ênfase no ensino de línguas que aqui é muito maior. Os alunos do ensino básico tem aulas de duas línguas estrangeiras e os do segundo grau tem três. No Brasil é conhecido o baixo nível do ensino de inglês nas escolas, que obriga os pais a recorrerem a escolas especializadas.<br />
<br />
Obviamente nem tudo são flores. A gente tem sentido falta da quantidade de atividades extra curriculares que tinha no Brasil. As atividades esportivas ocorriam mais vezes por semana e sempre tinha alguma competição no final de semana. Aqui teve bastante atividade durante o período de competição e depois acabou. Aulas de teatro são também sazonais e não duram todo o período escolar.<br />
<br />
O apoio que a escola dá aos alunos é bem maior, com conselheiros para ajudar desde a montar o currículo até à escolher a universidade. Isso faz com que as crianças fiquem mais dependentes. Como no Brasil a coisa vai mais na base do "se vira", as crianças acabam aprendendo a se virarem mais sozinhas.<br />
<br />
E, na questão do conteúdo, temos aqui um modelo que acaba pecando pela falta. Um exemplo que nos deixou preocupados é que a matéria de Geografia no segundo grau é opcional e oferecida aos alunos que tem dificuldades em ciências. Talvez isso explique a famosa falta de conhecimento de geografia pelos norte-americanos.<br />
<br />
Voltando às observações de Richard Feynman, a gente concorda com a maioria delas e vê uma abordagem diferente no ensino de ciências por aqui. Mas também não dá pra formar um ser humano completo sem uma base de conteúdo ampla e diversificada. Um meio termo talvez seja possível e, quem sabe, poderia ter os pontos positivos das duas abordagens. Será que é possível formar com um pouco menos de conteúdo do que é exigido no Brasil e com uma quantidade de experimentos e de suporte ao ensino próxima ao que temos por aqui?<br />
<br />
Pra encerrar: estamos comparando as experiências que tivemos em escolas particulares em Brasília e Nova York.Lucashttp://www.blogger.com/profile/08800032441644166513noreply@blogger.com0tag:blogger.com,1999:blog-1243266050138262294.post-70627017484151099892011-10-31T20:57:00.000-02:002011-10-31T20:57:09.883-02:00FHR: novidadesAlgumas novidades rápidas sobre o FHR (leia mais sobre o projeto no <a href="http://blog.sapao.net/2011/10/novo-projeto-file-hash-repository.html">último post</a>):<br />
<br />
<ol>
<li>o FHR agora é OWASP FHR, o projeto foi aprovado pelo OWASP. A partir de agora, as novidades serão postadas na página do projeto: <a href="https://www.owasp.org/index.php/OWASP_File_Hash_Repository">https://www.owasp.org/index.php/OWASP_File_Hash_Repository</a></li>
<li>O servidor DNS do FHR está integrado ao DNS mundial. Ainda restam algumas arestas a aparar com relação à disponibilidade, mas já está funcionando.</li>
</ol>
<div>
Agora, para fazer consultas, basta usar:</div>
<blockquote class="tr_bq">
<span class="Apple-style-span" style="background-color: white; color: #222222; font-family: Arial, Tahoma, Helvetica, FreeSans, sans-serif; font-size: 13px; line-height: 18px;">dig 84C0C5914FF0B825141BA2C6A9E3D6F4.hash.sapao.net</span></blockquote>
ou, caso queira o registro completo:<br />
<blockquote class="tr_bq">
<span class="Apple-style-span" style="background-color: white; color: #222222; font-family: Arial, Tahoma, Helvetica, FreeSans, sans-serif; font-size: 13px; line-height: 18px;">dig TXT 84C0C5914FF0B825141BA2C6A9E3D6F4.hash.sapao.net</span> </blockquote>
outros comandos que gerem consultas DNS também podem ser usados, como:<br />
<blockquote class="tr_bq">
<span class="Apple-style-span" style="background-color: white; color: #222222; font-family: Arial, Tahoma, Helvetica, FreeSans, sans-serif; font-size: 13px; line-height: 18px;">ping 84C0C5914FF0B825141BA2C6A9E3D6F4.hash.sapao.net</span> </blockquote>
Como detalhe técnico, registro que o servidor do FHR está rodando na núvem da Amazon (AWS EC2).<br />Lucashttp://www.blogger.com/profile/08800032441644166513noreply@blogger.com0tag:blogger.com,1999:blog-1243266050138262294.post-47321246121520785592011-10-14T18:24:00.000-03:002011-10-14T18:24:15.035-03:00Novo projeto: File hash repositoryEstive quieto nos últimos tempos, mas estou de volta. :-)<br />
<br />
Fora ajudar na organização do <a href="http://www.appselatam.org/">AppSec Latam 2011</a>, eu estive também recluso trabalhando em um novo projeto, o File Hash Repository (FHR), que, se tudo der certo, será em breve um novo projeto do <a href="http://www.owasp.org/">OWASP</a>.<br />
<br />
<b>Mas o que é o FHR?</b><br />
Simplificando: o FHR é um repositório de <a href="http://pt.wikipedia.org/wiki/Hash">hashes</a> de arquivos. Só que a ideia é ir além de somente guardar uma lista de hashes: pretendo que o repositório possa indicar quando os arquivo em questão for (parte de) um <a href="http://pt.wikipedia.org/wiki/Malware">malware</a> ou quando for um arquivo reconhecidamente benigno. Assim, qualquer um poderia consultar o hash de um arquivo para saber se corresponde a um malware ou a um arquivo já conhecido.<br />
<br />
<b>Já não existem outras fontes com essa informação?</b><br />
Sim, e uma das ideias do projeto é agregar informações de diversas fontes. Por exemplo, o <a href="http://www.nist.gov/">NIST</a> tem o <a href="http://www.nsrl.nist.gov/">NSRL</a>, que provê hashes de arquivo reconhecidamente benignos. O problema é que o NIST fornece essa informação em um arquivo texto cujo download tem mais de 1GB de tamanho. Outras fontes conhecidas são o <a href="http://www.team-cymru.org/Services/MHR/">MHR</a> do <a href="http://www.team-cymru.org/">Team Cymru</a>, o <a href="http://isc.sans.edu/tools/hashsearch.html">repositório de hashes do SANS</a> e o <a href="http://www.virustotal.com/">Virus Total</a>.<br />
Além de agregar as informações, um dos objetivos do FHR é permitir livre acesso à sua base de dados.<br />
<br />
<b>O livre acesso a uma base de dados que contém malware não é perigoso?</b><br />
Sim, é perigoso, mas o repositório do projeto não vai conter malwares. O repositório só vai ter os hashes dos malwares, o que não apresenta nenhum perigo.<br />
<br />
<b>Detectar malwares usando hashes não é boa estratégia.</b><br />
Certamente, e o projeto não tem o objetivo de substituir os antivírus atuais. No entanto, a criação de hashes é mais eficiente e fácil do que a criação de vacinas genéricas e é uma estratégia que vem sendo usada como complemento para os antivírus tradicionais. Vários produtos comerciais incluem o uso de <i><a href="http://pt.wikipedia.org/wiki/Cloud_computing">cloud computing</a></i> como parte de suas estratégias. Infelizmente, os produtores dessas tecnologias não permitem que façamos consultas a suas bases de dados de hashes. Com o FHR, o objetivo é criar uma base de livre consulta e que possa ser usada por todo mundo.<br />
<br />
<b>O FHR vai ser integrado em sistemas de antivírus?</b><br />
Eu pretendo desenvolver alguns sistemas clientes para o FHR que possam fazer varreduras em estações de trabalho e consultar a base se dados do FHR para tentar identificar malwares. Esses clientes serão criados para uso próprio e como prova de conceito e terão seus códigos abertos. Seria ótimo se tivermos apoio de algum fabricante de antivírus, mas só o tempo dirá.<br />
<br />
<b>Tecnicamente, como funciona o FHR?</b><br />
Como não poderia deixar de ser, o núcleo do sistema é a sua base de dados de hashes. Hoje essa base roda em <a href="http://www.mysql.com/">MySQL</a> (pretendo depois fazer um post sobre a novela da escolha da base de dados).<br />
Em volta dessa base, podemos desenvolver várias interfaces de consulta. Algumas ideias de protocolos para consultas são:<br />
<br />
<ol><li>DNS</li>
<li>Web</li>
<li>WebServices</li>
<li>JSON</li>
</ol><div>No momento, já tenho funcionando a interface para consultas via DNS, que só não está integrada ao DNS global porque meu provedor bloqueia acessos à porta 53 UDP. A medida que o projeto amadurecer, devemos conseguir migrar o servidor para um provedor de hosting a então teremos um DNS 100% funcional.</div><div><br />
</div><div><b>Quais informações já estão disponíveis?</b></div><div>No momento a base de dados já tem os 20 milhões de registros do FHR. Em breve teremos funcionalidades de consulta a outras bases devidamente implementadas.</div><div>Para cada arquivo cadastrado, temos as seguintes informações:</div><div><ol><li>SHA-1</li>
<li>MD5</li>
<li>fonte</li>
<li>data de quando o sistema viu o hash/arquivo pela primeira vez (não disponível para os arquivos do NIST)</li>
<li>status (GOOD, MALWARE, UNKNOWN, SUSPICIOUS)</li>
<li>tamanho</li>
<li>certeza (percentagem que indica o grau de certeza com relação ao status do arquivo).</li>
</ol></div><div><b>É possível testar o sistema?</b></div><div>Claro! A interface DNS está disponível para testes. Mas, como está rodando em casa, nem sempre está no ar. Para ver como funciona, é necessário fazer uma consulta DNS ao servidor do FHR (ns.hash.sapao.net) na porta 1053. O hash deve ser acrescido ao sufixo .hash.sapao.net. A consulta do registro tipo A retorna um endereço da rede 127.0.0.0/8 cujo último octeto indica o status do arquivo. Consultas do tipo TXT retornam uma string com todas as informações disponíveis. </div><div>Eu recomendo o uso do dig para fazer as consultas manualmente. Um exemplo de linha de comando seria:</div><blockquote>dig @ns.hash.sapao.net -p1053 TXT 84C0C5914FF0B825141BA2C6A9E3D6F4.hash.sapao.net</blockquote><b>É possível contribuir com o projeto?</b><br />
Claro! Entre em contato comigo ou deixe um comentário.Lucashttp://www.blogger.com/profile/08800032441644166513noreply@blogger.com5tag:blogger.com,1999:blog-1243266050138262294.post-14085904856156967622011-06-29T15:10:00.001-03:002011-07-07T16:58:45.687-03:00Lei de crimes digitais - 2Embora eu não concorde com a gritaria geral contra o projeto de crimes digitais, tem um ponto onde eu acho que o projeto poderia ser melhorado: a questão dos códigos maliciosos.<br />
<br />
O texto diz o seguinte:<br />
<blockquote>IV – código malicioso: o conjunto de instruções e tabelas de informações ou qualquer<br />
outro sistema desenvolvido para executar ações danosas ou obter dados ou informações de<br />
forma indevida;</blockquote><blockquote>Inserção ou difusão de código malicioso<br />
Art. 163-A. Inserir ou difundir código malicioso em dispositivo de<br />
comunicação, rede de computadores, ou sistema informatizado:<br />
Pena – reclusão, de 1 (um) a 3 (três) anos, e multa. </blockquote> Nesse ponto, podemos ter a criminalização da atividade de desenvolvimento de softwares de segurança, o que seria prejudicial às atividades dos profissionais de segurança da informação.<br />
<br />
Muitas vezes usamos programas capazes de realizar ataques para testar o estado da segurança de alguma rede ou sistema. Esses programas claramente executam "ações danosas", mas os profissionais os utilizam de forma responsável para que os danos, caso existam, seja limitados. Embora a posse e a construção dessas ferramentas não esteja tipificada, esses programas só são úteis se forem distribuídos, o que poderia ser considerado "difusão".<br />
<br />
Ou seja, ferramentas de <a href="https://secure.wikimedia.org/wikipedia/en/wiki/Penetration_test"><i>pentest</i></a> estariam disponíveis apenas aos criminosos, dando um vantagem indesejada com relação aos verdadeiros profissionais de segurança. Esse artigo e a definição de código malicioso merecem um reescrita cuidadosa. Nesse caso, acho que a intenção é o cerne da questão. A difusão para fins de causar dano deve ser criminalizada, mas a difusão como forma de compartilhamento de conhecimento deve ser permitida.<br />
<br />
<b>Edit:</b> uma nova proposta corrige esta distorção: <a href="http://edemocracia.camara.gov.br/en/web/seguranca-da-internet/wikiLegis">http://edemocracia.camara.gov.br/en/web/seguranca-da-internet/wikiLegis</a>Lucashttp://www.blogger.com/profile/08800032441644166513noreply@blogger.com0tag:blogger.com,1999:blog-1243266050138262294.post-21048529193847882011-06-29T04:25:00.000-03:002011-06-29T04:25:45.655-03:00Lei de crimes digitaisA proposta de lei é polêmica e tem seus pontos falhos, mas me irrita a quantidade de críticas que o projeto recebe de gente que força a barra só pra poder falar mal. A última que eu li foi que "o projeto vai criminalizar a cultura e pesquisa hacker".<br />
<br />
Isso porque o projeto define como crime:<br />
<blockquote><span class="Apple-style-span" style="color: #333333; font-family: Georgia, 'Bitstream Charter', serif; font-size: 16px; line-height: 24px;"><div style="background-attachment: initial; background-clip: initial; background-color: transparent; background-image: initial; background-origin: initial; background-position: initial initial; background-repeat: initial initial; border-bottom-width: 0px; border-color: initial; border-left-width: 0px; border-right-width: 0px; border-style: initial; border-top-width: 0px; margin-bottom: 24px; margin-left: 0px; margin-right: 0px; margin-top: 0px; padding-bottom: 0px; padding-left: 0px; padding-right: 0px; padding-top: 0px; text-align: justify; vertical-align: baseline;"><strong style="background-attachment: initial; background-clip: initial; background-color: transparent; background-image: initial; background-origin: initial; background-position: initial initial; background-repeat: initial initial; border-bottom-width: 0px; border-color: initial; border-left-width: 0px; border-right-width: 0px; border-style: initial; border-top-width: 0px; font-weight: bold; margin-bottom: 0px; margin-left: 0px; margin-right: 0px; margin-top: 0px; padding-bottom: 0px; padding-left: 0px; padding-right: 0px; padding-top: 0px; vertical-align: baseline;"><em style="background-attachment: initial; background-clip: initial; background-color: transparent; background-image: initial; background-origin: initial; background-position: initial initial; background-repeat: initial initial; border-bottom-width: 0px; border-color: initial; border-left-width: 0px; border-right-width: 0px; border-style: initial; border-top-width: 0px; font-style: italic; margin-bottom: 0px; margin-left: 0px; margin-right: 0px; margin-top: 0px; padding-bottom: 0px; padding-left: 0px; padding-right: 0px; padding-top: 0px; vertical-align: baseline;">Art. 285-A. </em></strong><em style="background-attachment: initial; background-clip: initial; background-color: transparent; background-image: initial; background-origin: initial; background-position: initial initial; background-repeat: initial initial; border-bottom-width: 0px; border-color: initial; border-left-width: 0px; border-right-width: 0px; border-style: initial; border-top-width: 0px; font-style: italic; margin-bottom: 0px; margin-left: 0px; margin-right: 0px; margin-top: 0px; padding-bottom: 0px; padding-left: 0px; padding-right: 0px; padding-top: 0px; vertical-align: baseline;">Acessar rede de computadores, dispositivo de comunicação ou sistema informatizado, sem autorização do legítimo titular, quando exigida:</em></div><div style="background-attachment: initial; background-clip: initial; background-color: transparent; background-image: initial; background-origin: initial; background-position: initial initial; background-repeat: initial initial; border-bottom-width: 0px; border-color: initial; border-left-width: 0px; border-right-width: 0px; border-style: initial; border-top-width: 0px; margin-bottom: 24px; margin-left: 0px; margin-right: 0px; margin-top: 0px; padding-bottom: 0px; padding-left: 0px; padding-right: 0px; padding-top: 0px; text-align: justify; vertical-align: baseline;"><em style="background-attachment: initial; background-clip: initial; background-color: transparent; background-image: initial; background-origin: initial; background-position: initial initial; background-repeat: initial initial; border-bottom-width: 0px; border-color: initial; border-left-width: 0px; border-right-width: 0px; border-style: initial; border-top-width: 0px; font-style: italic; margin-bottom: 0px; margin-left: 0px; margin-right: 0px; margin-top: 0px; padding-bottom: 0px; padding-left: 0px; padding-right: 0px; padding-top: 0px; vertical-align: baseline;">Pena – reclusão, de 1 (um) a 3 (três) anos, e multa.</em></div><div style="background-attachment: initial; background-clip: initial; background-color: transparent; background-image: initial; background-origin: initial; background-position: initial initial; background-repeat: initial initial; border-bottom-width: 0px; border-color: initial; border-left-width: 0px; border-right-width: 0px; border-style: initial; border-top-width: 0px; margin-bottom: 24px; margin-left: 0px; margin-right: 0px; margin-top: 0px; padding-bottom: 0px; padding-left: 0px; padding-right: 0px; padding-top: 0px; text-align: justify; vertical-align: baseline;"><em style="background-attachment: initial; background-clip: initial; background-color: transparent; background-image: initial; background-origin: initial; background-position: initial initial; background-repeat: initial initial; border-bottom-width: 0px; border-color: initial; border-left-width: 0px; border-right-width: 0px; border-style: initial; border-top-width: 0px; font-style: italic; margin-bottom: 0px; margin-left: 0px; margin-right: 0px; margin-top: 0px; padding-bottom: 0px; padding-left: 0px; padding-right: 0px; padding-top: 0px; vertical-align: baseline;">Parágrafo único. Se o agente se vale de nome falso ou da utilização de identidade de terceiros para a prática do crime, a pena é aumentada de sexta parte.</em></div></span></blockquote>Se alguém defende a "cultura hacker", deveria ao menos se dar ao trabalho de ler um pouco a respeito. Mesmo a wikipedia admite que, dentro da "ética hacker", <a href="http://pt.wikipedia.org/wiki/%C3%89tica_hacker">a invasão de sistemas não é unanimamente aceita como um comportamento éticamente aceitável</a>. Ou seja, colocar a invasão de sistemas como algo natural na "cultura hacker" é generalizar um pensamento de alguns, em detrimento do demais.<br />
<br />
Além disso, chamar as pessoas que invadem sistemas de pesquisadores é um desrespeito com os pesquisadores de verdade. Nenhum pesquisador que seja digno do nome sai por aí invadindo sistemas. E os profissionais de verdade não invadem sistemas de graça, até porque são muito bem pagos para invadirem os sistemas de seus clientes.<br />
<br />
Confundir os script kiddies que ficam por aí "testando" sites com profissionais de verdade só demonstra falta de conhecimento ou má fé.<br />
<br />
Um paralelo com o mundo físico é possível nesse caso: no jardim em frente à minha casa, tenho um coqueiro. Embora não haja grade ou muro entre a rua e o jardim, há uma pequena cerca viva que deixa claro que o jardim faz parte da minha propriedade. Algumas vezes já aconteceu de eu pegar gente subindo no coqueiro para apanhar cocos. Embora qualquer prejuízo que isso possa me causar seja insignificante, não deixa de ser uma invasão à minha propriedade para pegar algo que me pertence.<br />
<br />
Para mim, um invasor de sistemas, mesmo que não altere nada, tem uma atitude parecida com a pessoa que pega os meus cocos: está desrespeitando os direitos do legítimo proprietário do bem, seja ele um coco ou um sistema. Não importa o tamanho do prejuízo ou das defesas instaladas para evitar a invasão: se há uma clara delimitação de onde termina o território público, não há motivo que justifique o desrespeito à propriedade privada.<br />
<br />
Continuando o paralelo, se o cara que pegou os cocos tivesse batido na porta e perguntado se podia pegar um coco, eu certamente teria deixado e, mais ainda, teria negociado para que ele pegasse todos os que estivessem bons e lhe daria alguns como "pagamento" pelo trabalho. Por que a atitude correta no mundo virtual seria outra? Eu conheço muitas organizações que gastam bastante dinheiro para testar a segurança de sues sistemas. Um pesquisador de verdade poderia facilmente negociar para fazer esses testes em troca dos conhecimentos adquiridos ou da possibilidade de divulgação dos problemas encontrados (anonimamente, claro).<br />
<br />
Enfim, a ética dos grupos com os quais convivo, muitos dos quais poderiam ser claramente definidos como "hackers", é: "nunca entre sem pedir licença". Em outras palavras, testes de segurança só devem ser feitos com a devida autorização e, se alguma vulnerabilidade for descoberta, nunca deve ser usada para acessar sistemas indevidamente. E esse comportamento não será afetado pela lei.<br />
<br />
Outra crítica que vejo muito é de que a lei tem definições muito vagas. Isso acontece com outros tipo penais e não vejo tanta reclamação, Por exemplo a definição de dano:<br />
<blockquote><div style="margin-bottom: 0px; margin-top: 0px; text-align: justify;"><strong>Dano</strong></div><div style="margin-bottom: 0px; margin-top: 0px; text-align: justify;"><a href="" name="a163"><strong>Art. 163</strong></a> - Destruir, inutilizar ou deteriorar coisa alheia:</div><div style="margin-bottom: 0px; margin-top: 0px; text-align: justify;"><strong>Pena</strong> - detenção, de 1 (um) a 6 (seis) meses, ou multa.</div></blockquote>Pra mim, essa definição permitiria criminalizar muitas condutas que normalmente não vemos como crime. Ou alguém já foi preso por pisar na grama do vizinho? Ou por derramar vinho na toalha da mesa do restaurante?<br />
<br />
A aplicação das leis não se dá ao pé da letra e exige bom senso e a observância de diversos princípios que o Direito desenvolveu ao longo dos anos. Se não levarmos isso em conta, vamos acabar pedindo a revisão de toda a nossa legislação penal. Por outro lado, se as definições de crimes mais corriqueiros pode ser feita sem tanta precisão, por que os "crimes de informática" precisam ser tipificados nos mínimos detalhes?Lucashttp://www.blogger.com/profile/08800032441644166513noreply@blogger.com0tag:blogger.com,1999:blog-1243266050138262294.post-31869043878737480952011-04-23T12:29:00.000-03:002011-04-23T12:29:20.310-03:00Segurança na Web - Uma janela de oportunidadesJá tem algum tempo que eu estou meio sumido, mas tenho um bom motivo para isso: eu estava trabalhando na elaboração de um manifesto com sugestões da comunidade brasileira do OWASP para o governo brasileiro.<br />
<br />
A ideia do manifesto é apresentar de forma resumida e didática algumas ideias que são constantemente discutidas dentro do OWASP e fora dele também. Muitas das ideias vem do <a href="http://www.slideshare.net/SandraPaiva/dinis-cruz-ibwas10-conference-keynote">keynote do Dinis Cruz</a> no IBWAS 2010. Vários dos temas tratados no manifesto refletem o discurso de importante figuras do cenário mundial da segurança de informações, como o Bruce Schneier e o Divid Rice.<br />
<br />
O manifesto do OWASP inclui sugestões de ações e políticas que o governo e os gestores de órgãos públicos podem tomar para melhorar as condições de segurança na internet brasileira. São sugestões de possíveis marcos legais e também de ações concretas que poderiam ser adotadas por qualquer órgão público.<br />
<br />
O documento está <a href="https://www.owasp.org/images/1/16/Seguranca_na_web_-_uma_janela_de_oportunidades.pdf">disponível no site do OWASP</a> e, como todos os documentos do OWASP, pode ser livremente distribuídos a todos os possíveis interessados.Lucashttp://www.blogger.com/profile/08800032441644166513noreply@blogger.com0tag:blogger.com,1999:blog-1243266050138262294.post-34307673914604105342011-02-02T22:50:00.001-02:002011-02-02T22:52:20.400-02:00Novos livros<div class="separator" style="clear: both; text-align: center;"><a href="http://1.bp.blogspot.com/_dYor-mZMKe8/TUmwQP5yiQI/AAAAAAAABZc/dgzEdCPeStc/s1600/capa2.gif" imageanchor="1" style="margin-left: 1em; margin-right: 1em;"><img border="0" height="310" src="http://1.bp.blogspot.com/_dYor-mZMKe8/TUmwQP5yiQI/AAAAAAAABZc/dgzEdCPeStc/s320/capa2.gif" width="320" /></a></div>Caramba! Tem tento tempo que não apareço aqui no blog que nem tinha notado que fiquei uns 6 meses sem postar. Foi a trabalheira do AppSec Brasil 2010 e depois fim de ano, férias, etc.<br />
<br />
Mas estou de volta... Esta semana, meu amigo <a href="http://kenjiria.blogspot.com/">Kenji </a>anunciou que havia publicado <a href="http://kenjiria.blogspot.com/2011/01/o-zen-falso-agora-via-amazon.html">um livro para o Kindle</a>. Fui verificar, comprei o livro, mas não antes de perceber que o Kenji publicou o livro usando o pseudo-pseudônimo de "Leonardo K. Shikida". Pois é: se procurar por Kenji na Amazon, ninguém acha o livro do Kenji. Mas enfim.<br />
<br />
Depois de comprar o livro do Kenji, fiquei com inveja. Afinal já tive filhos, plantei árvores, mas nunca havia publicado um livro. Então resolvi publicar um livro sobre desenvolvimento seguro em Java (só pra variar). E o livro já está disponível <a href="http://www.amazon.com/Seguran%C3%A7a-Desenvolvimento-Sistemas-Portuguese-ebook/dp/B004LX0A9I">aqui</a>.<br />
<br />
Acabei empolgando e fiz a versão digital do "De Que Cor São Suas Asas?", supostamente meu primeiro livro de ficção, mas que nunca havia sido publicado de verdade. Esse também está disponível na <a href="http://www.amazon.com/Que-Suas-Asas-Portuguese-ebook/dp/B004LX0EDA">Amazon</a>.<span id="goog_2052429390"></span><span id="goog_2052429391"></span>Lucashttp://www.blogger.com/profile/08800032441644166513noreply@blogger.com0tag:blogger.com,1999:blog-1243266050138262294.post-47741342913796005712010-08-09T22:30:00.000-03:002010-08-09T22:30:14.248-03:00OWASP AppSec Brasil 2010 - ÚltimasAndei meio ausente e muita coisa mudou no AppSec Brasil 2010. A mudança mais importante foi a troca de keynotes: o Bruce Schneier mandou um email nos avisando que não poderia vir ao evento, sem maiores explicações sobre os motivos. Foi estranho porque menos de uma semana antes ele tinha perguntado se poderíamos lhe dar uma cortesia para convidar uma pessoa para participar do evento.<br />
<br />
A primeira reação foi totalmente calculada: Pânico total... Na hora que tudo estava se ajeitando, perdemos o nosso principal keynote. Depois do pânico, retornamos ao processo de convite e rapidamente tivemos sucesso. O Robert 'RSnake' Hansen aceitou o convite. Assim, teremos dois ótimos keynotes técnicos e mais afinados com o OWASP.<br />
<br />
Fora isso, a chamada de trabalhos continua aberta por mais uma semana. Já estamos recebendo as propostas no site de submissões.<br />
<br />
Os treinamentos já estão definidos e serão anunciados ainda esta semana. A grade de treinamentos está com excelente qualidade de treinamentos em inglês e português.<br />
<br />
Pretendemos também ter o formulário de inscrições no ar na semana que vem.Lucashttp://www.blogger.com/profile/08800032441644166513noreply@blogger.com0tag:blogger.com,1999:blog-1243266050138262294.post-90627212907636339652010-07-24T15:12:00.002-03:002010-07-24T23:01:17.046-03:00OWASP AppSec Brasil 2010 - Chamada de trabalhos<span class="Apple-style-span" style="border-collapse: collapse; font-family: arial, sans-serif; font-size: 13px;"></span><br />
<div class="separator" style="clear: both; text-align: center;"><a href="http://2.bp.blogspot.com/_Btd6n0ehJ4E/S6NvKC5ohGI/AAAAAAAABAw/7vcnTuaZjew/S1600-R/LogoAppSecBrazil.002.jpg" imageanchor="1" style="margin-left: 1em; margin-right: 1em;"><img border="0" height="90" src="http://2.bp.blogspot.com/_Btd6n0ehJ4E/S6NvKC5ohGI/AAAAAAAABAw/7vcnTuaZjew/S1600-R/LogoAppSecBrazil.002.jpg" width="320" /></a></div><br />
A chamada de trabalhos do <a href="http://www.owasp.org/index.php/AppSec_Brasil_2010_(pt-br)" style="color: #2244bb;" target="_blank">OWASP AppSec Brasil 2010</a>, foi divulgada. O texto completo segue abaixo:<br />
<br />
<br />
<div style="text-align: center;"><strong>APPSEC BRASIL 2010</strong></div><div style="text-align: center;"><strong>CHAMADA DE TRABALHOS</strong></div>O OWASP (Open Web Application Security Project) solicita propostas de apresentações para a conferência AppSec Brasil 2010, que ocorrerá na Fundação CPqD em Campinas, SP, de 16 a 19 de novembro de 2010. Haverá mini-cursos nos dias 16 e 17, seguidos de sessões plenárias de trilha única nos dias 18 e 19 de novembro de 2010.<br />
Buscamos pessoas e organizações que queiram ministrar palestras sobre segurança de aplicações. Em particular destacamos os seguintes tópicos de interesse:<br />
<ul><li>Modelagem de ameaças em aplicações (Application Threat Modeling)</li>
<li>Riscos de Negócio em Segurança de aplicações (Business Risks with Application Security)</li>
<li>Aplicações de Revisões de Código (Hands-on Source Code Review)</li>
<li>Métricas Aplicadas a Segurança de Aplicações (Metrics for Application Security)</li>
<li>Ferramentas e Projetos do OWASP (OWASP Tools and Projects)</li>
<li>Tópicos de Privacidade em Aplicações e Armazenamento de Dados (Privacy Concerns with Applications and Data Storage)</li>
<li>Práticas de Programação Segura (Secure Coding Practices)</li>
<li>Programas de Segurança para todo o Ciclo de Vida de aplicações</li>
<li>(Secure Development Lifecycle Programs)</li>
<li>Tópicos de Segurança para tecnologias específicas (AJAX, XML, Flash, etc) (Technology specific presentations on security such as AJAX, XML, etc)</li>
<li>Controles de Segurança para aplicações Web (Web Application Security countermeasures)</li>
<li>Testes de Segurança de aplicações Web (Web Application Security Testing)</li>
<li>Segurança de Web Services ou XML (Web Services, XML and Application Security)</li>
</ul>A lista de tópicos não é exaustiva; outros tópicos podem ser abordados, desde que em consonância com o tema central do evento.<br />
<br />
Para submeter uma proposta, preencha o formulário disponível em <a href="http://www.owasp.org/images/6/68/OWASP_AppSec_Brasil_2010_CFP%28pt-br%29.rtf.zip" style="color: #2244bb;" target="_blank">http://www.owasp.org/images/6/68/OWASP_AppSec_Brasil_2010_CFP%28pt-br%29.rtf.zip</a>, que deve ser enviado através da página da conferência no site Easychair: <a href="http://www.easychair.org/conferences/?conf=appsecbr2010" style="color: #2244bb;" target="_blank">http://www.easychair.org/conferences/?conf=appsecbr2010</a><br />
Cada apresentação terá 45 minutos de duração, seguidos de 10 minutos para perguntas da platéia. Todas as apresentações deverão estar em conformidade com as regras definidas pelo OWASP em seu “Speaker Agreement”.<br />
<strong><br />
</strong><br />
<strong>Datas importantes:</strong><br />
<ul><li>A data limite para apresentação de propostas é 17 de agosto de 2010 às 23:59, horário de Brasília.</li>
<li>A notificação de aceitação ocorrerá até o dia 8 de setembro de 2010.</li>
<li>A versão final das apresentações deverá ser enviada até o dia 30 de setembro de 2010.</li>
</ul>A comissão organizadora da conferência pode ser contactada pelo e-mail: organizacao2010@appsecbrasil.org<br />
<br />
Para mais informações, favor consultar as seguintes páginas:<br />
<ul><li>Página da conferência: <a href="http://www.owasp.org/index.php/AppSec_Brasil_2010_%28pt-br%29" style="color: #2244bb;" target="_blank">http://www.owasp.org/index.php/AppSec_Brasil_2010_(pt-br)</a></li>
<li>OWASP Speaker Agreement (em inglês): <a href="http://www.owasp.org/index.php/Speaker_Agreement" style="color: #2244bb;" target="_blank">http://www.owasp.org/index.php/Speaker_Agreement</a></li>
<li>Página do OWASP: <a href="http://www.owasp.org/" style="color: #2244bb;" target="_blank">http://www.owasp.org</a></li>
<li>Página da conferência no Easychair: <a href="http://www.easychair.org/conferences/?conf=appsecbr2010" style="color: #2244bb;" target="_blank">http://www.easychair.org/conferences/?conf=appsecbr2010</a></li>
<li>Formulário para apresentação de propostas:<a href="http://www.owasp.org/images/f/f7/OWASP_AppSec_Brasil_2010_CFP.rtf.zip" style="color: #2244bb;" target="_blank">http://www.owasp.org/images/f/f7/OWASP_AppSec_Brasil_2010_CFP.rtf.zip</a></li>
</ul><strong>ATENÇÃO: Não serão aceitas propostas sem TODAS as informações solicitadas no formulário</strong><br />
<br />
Favor divulgar a todos os possíveis interessados.Lucashttp://www.blogger.com/profile/08800032441644166513noreply@blogger.com0tag:blogger.com,1999:blog-1243266050138262294.post-43998198445795063732010-06-07T23:46:00.000-03:002010-06-07T23:46:09.312-03:00AppSec Brasil 2010: Chamada de treinamentos**APPSEC BRASIL 2010**<br />
**CHAMADA DE MINI-CURSOS**<br />
<br />
O OWASP (Open Web Application Security Project) solicita propostas de apresentações para a conferência AppSec Brasil 2010, que ocorrerá na Fundação CPqD em Campinas, SP, de 16 a 19 de novembro de 2010. Haverá mini-cursos nos dias 16 e 17, seguidos de sessões plenárias de trilha única nos dias 18 e 19 de novembro de 2010.<br />
<br />
Buscamos pessoas e organizações que queiram ministrar mini-cursos sobre segurança de aplicações. Destacamos os seguintes tópicos de interesse:<br />
- Modelagem de ameaças em aplicações (Application Threat Modeling)<br />
- Riscos de Negócio em Segurança de aplicações (Business Risks with Application Security)<br />
- Aplicações de Revisões de Código (Hands-on Source Code Review)<br />
- Métricas Aplicadas a Segurança de Aplicações (Metrics for Application Security)<br />
- Ferramentas e Projetos do OWASP (OWASP Tools and Projects)<br />
- Tópicos de Privacidade em Aplicações e Armazenamento de Dados (Privacy Concerns with Applications and Data Storage)<br />
- Práticas de Programação Segura (Secure Coding Practices)<br />
- Programas de Segurança para todo o Ciclo de Vida de aplicações (Secure Development Lifecycle Programs)<br />
- Tópicos de Segurança para tecnologias específicas (AJAX, XML, Flash, etc) (Technology specific presentations on security such as AJAX, XML, etc)<br />
- Controles de Segurança para aplicações Web (Web Application Security countermeasures)<br />
- Testes de Segurança de aplicações Web (Web Application Security Testing)<br />
- Segurança de Web Services ou XML (Web Services, XML and Application Security)<br />
<br />
A lista de tópicos não é exaustiva; outros tópicos podem ser abordados, desde que em consonância com o tema central do evento.<br />
<br />
Para submeter uma proposta, preencha o formulário disponível em http://www.owasp.org/images/4/43/OWASP_AppSec_Brasil_2010_CFT%28pt-br%29.rtf.zip, que deve ser enviado por email para organizacao2010@appsecbrasil.org.<br />
<br />
Cada mini-curso poderá ter 1 ou 2 dias (8 horas por dia) de duração e deverão estar em conformidade com as regras definidas pelo OWASP em seu "Speaker Agreement". A conferência pagará aos instrutores pelo menos 30% do fatuamente de seus mini-cursos. Cursos que consigam atrair mais que o número mínimo de alunos poderão receber percentagens maiores (mais detalhes abaixo). Não haverá qualquer outro tipo de remuneração (passagens, hospedagem, etc) para os apresentadores ou autores dos mini-cursos. Caso seja necessário um arranjo diferente, favor entrar em contacto com o comitê organizador pelo email abaixo.<br />
<br />
**Remuneração**<br />
Os instrutores e autores dos cursos serão remunerados conforme a quantidade de alunos. Se o curso atrair apenas o número mínimo de alunos, a remuneração será 30% do faturamento. Para cada 10 alunos a mais, a remuneração será acrescida de 5% do faturamento, até um máximo de 45% do faturamento do curso. Por exemplo, para um curso de 1 dia para uma turma de 10 a 19 alunos, os instrutores e autores receberão 30% do faturamento do curso. Para turmas entre 20 e 29 alunos, a remuneração sobe para 35% do faturamento e assim sucessivamente.<br />
<br />
Em casos excepcionais, poderá ser acordado um esquema diferente para remuneração dos instrutores. Possíveis interessados devem entrar em contacto com a comissão organizadora pelo email organizacao2010@appsecbrasil.org<br />
<br />
**Valores das inscrições**<br />
Cursos de 1 dia: R$ 450 por aluno<br />
Cursos de 2 días: R$ 900 por aluno<br />
<br />
**Mínimo de alunos**<br />
10 alunos para cursos de 1 dia<br />
20 alunos para cursos de 2 dias<br />
<br />
**Datas importantes:**<br />
A data limite para apresentação de propostas é 26 de julho de 2010 às 23:59, horário de Brasília.<br />
A notificação de aceitação ocorrerá até o dia 16 de agosto de 2010.<br />
A versão final do material dos mini-cursos deverá ser enviada até o dia 15 de setembro de 2010.<br />
<br />
A comissão organizadora da conferência pode ser contactada pelo e-mail: organizacao2010@appsecbrasil.org<br />
<br />
Para mais informações, favor consultar as seguintes páginas:<br />
Página da conferência: http://www.owasp.org/index.php/AppSec_Brasil_2010_(pt-br)<br />
OWASP Speaker Agreement (em inglês): http://www.owasp.org/index.php/Speaker_Agreement<br />
Página do OWASP: http://www.owasp.org<br />
Página da conferência no Easychair: http://www.easychair.org/conferences/?conf=appsecbr2010<br />
Formulário para apresentação de propostas: http://www.owasp.org/images/4/43/OWASP_AppSec_Brasil_2010_CFT%28pt-br%29.rtf.zip<br />
<br />
********* ATENÇÃO: Não serão aceitas propostas sem TODAS as informações solicitadas no formulário *********<br />
<br />
Favor divulgar a todos os possíveis interessados.Lucashttp://www.blogger.com/profile/08800032441644166513noreply@blogger.com0tag:blogger.com,1999:blog-1243266050138262294.post-18194759999310015692010-04-19T12:24:00.000-03:002010-04-19T12:25:14.426-03:00OWASP Top 10 2010O OWASP lançou hoje a versão 2010 do OWASP Top 10, a lista dos 10 riscos mais significativos para aplicações web. Segue o press release:<br /><br />---------<br /><p><img src="https://mail.google.com/mail/?ui=2&ik=b36633d874&view=att&th=128090b539dc0e54&attid=0.0.1&disp=emb&zw" height="79" width="384" /> <span lang="RU"></span></p> <p class="MsoNormal"> </p> <p class="MsoNormal" style="margin-right: 0in; margin-bottom: 5pt; margin-left: 0in;"><span style="font-size: 10pt;">FOR IMMEDIATE RELEASE:</span></p> <p class="MsoNormal" style="margin-right: 0in; margin-bottom: 5pt; margin-left: 0in;"> </p> <p class="MsoNormal" style="margin-right: 0in; margin-bottom: 5pt; margin-left: 0in; text-align: center;" align="center"><b><span style="font-size: 16pt;">OWASP TOP 10 FOR 2010 RELEASED</span></b></p> <p class="MsoNormal" style="margin-right: 0in; margin-bottom: 5pt; margin-left: 0in; text-align: center;" align="center"><b><span style="font-size: 14pt;">Will You Help Us Reach Every Web Developer in the World?</span></b></p> <p class="MsoNormal" style="margin-right: 0in; margin-bottom: 5pt; margin-left: 0in;"><b><span style="font-size: 14pt;"> </span></b><span style="font-size: 14pt;"></span></p> <p class="MsoNormal" style="margin-right: 0in; margin-bottom: 5pt; margin-left: 0in;"><span style="font-size: 10pt;">Columbia, MD</span> <span style="font-size: 10pt;">4/19/2010 —</span> <span lang="RU"></span></p> <p class="MsoNormal"><span style="font-size: 10pt;"> </span></p> <p class="MsoNormal"><span style="font-size: 10pt;">Since 2003, application security researchers and experts from all over the world at the Open Web Application Security Project (OWASP) have carefully monitored the state of web application security and produced an awareness document that is acknowledged and relied on by organizations worldwide, including the PCI, DOD, FTC, and countless others.</span></p> <p class="MsoNormal"><span style="font-size: 10pt;"> </span></p> <p class="MsoNormal" style="margin-bottom: 14pt;"><span style="font-size: 10pt;">Today, OWASP has released an updated report capturing the top ten risks associated with the use of web applications in an enterprise. This colorful 22 page report is packed with examples and details that explain these risks to software developers, managers, and anyone interested in the future of web security. Everything at OWASP is free and open to everyone, and you can download the latest OWASP Top 10 report for free at:</span></p> <p class="MsoNormal" style="margin-bottom: 14pt; text-align: center;" align="center"><b><u><span style="font-size: 10pt; color: black;"><a href="http://www.owasp.org/index.php/Top_10" target="_blank"><span style="color: black;">http://www.owasp.org/index.<wbr>php/Top_10</span></a> </span></u><span style="color: black;"></span></b></p> <p class="MsoNormal"><span style="font-size: 10pt;">Dave Wichers, OWASP Board member and COO of Aspect Security, has managed the project since its inception. “This year we have revamped the Top 10 to make it clear that we are talking about risks, not just vulnerabilities. Attempts to prioritize vulnerabilities without context just don’t make sense. You can’t make proper business decisions without understanding the threat and impact to your business.” This new focus on risks is intended to lead organizations to more mature understanding and management of application security across their organization.</span></p> <p class="MsoNormal"><span style="font-size: 10pt;"> </span></p> <p class="MsoNormal"><span style="font-size: 10pt;">The time has come to get application security awareness out of the security community and directly to the people who need to know it most. This year, our audacious goal is to get the OWASP Top 10 into the hands of <b><u>every web developer in the world</u></b> – but we need your help. We ask anyone reading this; would you be willing to do one simple thing to help protect the future of the Internet? If you know people who write code for the web, could you forward them the OWASP Top 10 and ask them kindly…</span></p> <p class="MsoNormal"><span style="font-size: 10pt;"> </span></p> <p class="MsoNormal" style="text-align: center;" align="center"><span style="font-size: 10pt;">------------------------------<wbr>---------------------</span></p> <p class="MsoNormal"><span style="font-size: 10pt;"> </span></p> <p class="MsoNormal" style="text-align: center;" align="center"><b><span style="font-size: 10pt;">Are you familiar with all of the risks in the OWASP Top 10?</span></b></p> <p class="MsoNormal" style="text-align: center;" align="center"><b><span style="font-size: 10pt;"> </span></b></p> <p class="MsoNormal" style="text-align: center;" align="center"><b><span style="font-size: 10pt;">Will you make a commitment today to protect your code against the OWASP Top 10?</span></b></p> <p class="MsoNormal" style="text-align: center;" align="center"><span style="font-size: 10pt;"> </span></p> <p class="MsoNormal" style="text-align: center;" align="center"><span style="font-size: 10pt;">------------------------------<wbr>---------------------</span></p> <p class="MsoNormal"><span style="font-size: 10pt;"> </span></p> <p class="MsoNormal"><span style="font-size: 10pt;">For too long, many organizations have relied exclusively on an occasional scan or penetration test to gain assurance for their internal and external web applications. This approach is expensive and doesn't provide much in the way of coverage. Like other types of security, application security requires a risk management program that provides visibility across the entire portfolio and strategic controls to improve security. If your organization is ready to tackle application security, there are dozens of free books, tools, projects, forums, mailing lists, and more at OWASP. You can also join one of over 180 local chapters worldwide or attend our high quality and inexpensive AppSec conferences.</span></p> <p class="MsoNormal"> </p> <p class="MsoNormal" style="margin-bottom: 14pt;"><span style="font-size: 10pt;">The OWASP Top 10 for 2010 are:</span></p> <p class="MsoNormal" style="margin-left: 0.5in;"><b><span style="font-size: 10pt;">A1: Injection</span></b> <span lang="RU"></span></p> <p class="MsoNormal" style="margin-left: 0.5in;"><b><span style="font-size: 10pt;">A2: Cross-Site Scripting (XSS) </span></b></p> <p class="MsoNormal" style="margin-left: 0.5in;"><b><span style="font-size: 10pt;">A3: Broken Authentication and Session Management </span></b></p> <p class="MsoNormal" style="margin-left: 0.5in;"><b><span style="font-size: 10pt;">A4: Insecure Direct Object References </span></b></p> <p class="MsoNormal" style="margin-left: 0.5in;"><b><span style="font-size: 10pt;">A5: Cross-Site Request Forgery (CSRF) </span></b></p> <p class="MsoNormal" style="margin-left: 0.5in;"><b><span style="font-size: 10pt;">A6: Security Misconfiguration </span></b></p> <p class="MsoNormal" style="margin-left: 0.5in;"><b><span style="font-size: 10pt;">A7: Insecure Cryptographic Storage </span></b></p> <p class="MsoNormal" style="margin-left: 0.5in;"><b><span style="font-size: 10pt;">A8: Failure to Restrict URL Access </span></b></p> <p class="MsoNormal" style="margin-left: 0.5in;"><b><span style="font-size: 10pt;">A9: Insufficient Transport Layer Protection</span></b></p> <p class="MsoNormal" style="margin-left: 0.5in;"><b><span style="font-size: 10pt;">A10: Unvalidated Redirects and Forwards </span></b></p> <p class="MsoNormal"><b><span style="font-size: 10pt;"> </span></b> </p> <p class="MsoNormal" style="margin-bottom: 14pt;"><span style="font-size: 10pt;">The 2010 update is based on more sources of web application vulnerability information than the previous versions were when determining the new Top 10. It also presents this information in a more concise, compelling, and consumable manner, and includes strong references to the many new openly available resources that can help address each issue, particularly OWASP's new </span><a href="http://www.owasp.org/index.php/ESAPI" target="_blank"><span style="font-size: 10pt;">Enterprise Security API (ESAPI)</span></a><span style="font-size: 10pt;"> and </span><a href="http://www.owasp.org/index.php/ASVS" target="_blank"><span style="font-size: 10pt;">Application Security Verification Standard (ASVS)</span></a><span style="font-size: 10pt;"> projects. </span></p> <p class="MsoNormal" style="margin-bottom: 14pt;"><span style="font-size: 10pt;">ABOUT OWASP</span></p> <span style="font-size: 10pt;">The Open Web Application Security Project (OWASP) is a worldwide free and open community focused on improving the security of application software. Our mission is to make application security visible, so that people and organizations can make informed decisions about true application security risks. Everyone is free to participate in OWASP and <u>all of our materials</u> are available under a free and open software license. The OWASP Foundation is a 501c3 not-for-profit charitable organization that ensures the ongoing availability and support for our work from our members: </span><a href="http://www.owasp.org/index.php/Template:OWASP_Members_Horizontal" target="_blank"><span style="font-size: 10pt;">Individuals</span></a><span style="font-size: 10pt;">, </span><a href="http://www.owasp.org/index.php/Template:OWASP_Members_Horizontal" target="_blank"><span style="font-size: 10pt;">Organizational Supporters</span></a><span style="font-size: 10pt;"> & </span><a href="http://www.owasp.org/index.php/Template:OWASP_Members_Horizontal" target="_blank"><span style="font-size: 10pt;">Accredited University Supporters</span></a><span style="font-size: 10pt;">.</span>Lucashttp://www.blogger.com/profile/08800032441644166513noreply@blogger.com0tag:blogger.com,1999:blog-1243266050138262294.post-66049913890700919992010-03-19T15:37:00.002-03:002010-03-19T15:40:57.584-03:00AppSec Brasil - keynotes e blogHoje o Eduardo Neves colocou no ar o <a href="http://blog.appsecbrasil.org">blog do AppSec Brasil 2010</a>. Vou passar a postar as informações sobre o evento lá e peço a todos que assinem e nos ajudem a divulgar este novo blog.<br /><br />Postamos hoje no novo blog os <a href="http://blog.appsecbrasil.org/2010/03/keynotes.html">nomes dos keynotes</a> para o evento deste ano. Vale a pena dar uma olhada, já que teremos grandes nomes que estarão no Brasil pela primeira vez.Lucashttp://www.blogger.com/profile/08800032441644166513noreply@blogger.com0tag:blogger.com,1999:blog-1243266050138262294.post-73291129868773716902010-02-25T16:34:00.001-03:002010-02-25T16:35:41.499-03:00AppSec Brasil 2010 - Chamada por patrocinadores<span class="Apple-style-span" style="font-family: arial, sans-serif; font-size: 13px; border-collapse: collapse; ">**OWASP APPSEC BRASIL 2010**<br />**Chamada por Patrocinadores**<br /><br />Caros colegas,<br /><br />o OWASP busca empresas interessadas em patrocinar o AppSec Brasil<br />2010, que ocorrerá no centro de convenções da Fundação CPQD, em<br />Campinas, SP, de 16 a 19 de novembro de 2010. Haverão mini-cursos nos<br />dias 16 e 17 de novembro, seguidos de sessões plenárias nos dias 18 e<br />19 de novembro de 2010.<br /><br />A Conferência tem como objetivo congregar a comunidade de<br />profissionais, pesquisadores e estudantes e a divulgação de<br />informações sobre segurança de aplicações. São exemplos de temas de<br />interesse:<br /><br /> - Modelagem de ameaças em aplicações (Application Threat Modeling)<br /> - Riscos de Negócio em Segurança de aplicações (Business Risks with<br />Application Security)<br /> - Aplicações de Revisões de Código (Hands-on Source Code Review)<br /> - Métricas Aplicadas a Segurança de Aplicações (Metrics for<br />Application Security)<br /> - Ferramentas e Projetos do OWASP (OWASP Tools and Projects)<br /> - Tópicos de Privacidade em Aplicações e Armazenamento de Dados<br />(Privacy Concerns with Applications and Data Storage)<br /> - Práticas de Programação Segura (Secure Coding Practices)<br /> - Programas de Segurança para todo o Ciclo de Vida de alicações<br />(Secure Development Lifecycle Programs)<br /> - Tópicos de Segurança para tecnologias específicas (AJAX, XML,<br />Flash, etc) (Technology specific presentations on security such as<br />AJAX, XML, etc)<br /> - Controles de Segurança para aplicações Web (Web Application<br />Security countermeasures)<br /> - Testes de Segurança de aplicações Web (Web Application Security Testing)<br /> - Segurança de Web Services ou XML (Web Services-, XML- and<br />Application Security)<br /><br />A conferência será o principal evento programado pelo OWASP para<br />último trimestre de 2010, sendo um dos 4 principais eventos<br />programados para o ano de 2010.<br /><br />As informações sobre as oportunidades de patrocínio e suas respectivas<br />cotas podem ser encontradas no documento:<br /><a href="http://www.owasp.org/images/a/a4/Oportunidades_Patrocinio_OWASP_AppSec_Brasil_2010.pdf" target="_blank" style="color: rgb(119, 153, 187); ">http://www.owasp.org/images/a/<wbr>a4/Oportunidades_Patrocinio_<wbr>OWASP_AppSec_Brasil_2010.pdf</a><br /><br />Mais informações podem ser obtidas pelo email: <a href="mailto:organizacao2010@appsecbrasil.org" style="color: rgb(119, 153, 187); ">organizacao2010@appsecbrasil.<wbr>org</a> </span><div><span class="Apple-style-span" style="font-family: arial, sans-serif; font-size: 13px; border-collapse: collapse; "><br /></span></div><div><span class="Apple-style-span" style="font-family: arial, sans-serif; font-size: 13px; border-collapse: collapse; ">Por favor ajudem a divulgar aos potenciais interessados.</span></div>Lucashttp://www.blogger.com/profile/08800032441644166513noreply@blogger.com0tag:blogger.com,1999:blog-1243266050138262294.post-78462261575781043512010-02-20T11:19:00.003-02:002010-02-20T11:25:11.401-02:00AppSec Brasil 2010Finalmente <span class="blsp-spelling-corrected" id="SPELLING_ERROR_0">consegui</span> um tempo para divulgar que o <span class="blsp-spelling-error" id="SPELLING_ERROR_1">AppSec</span> Brasil 2010 já está marcado para Campinas, de 16 a 19 de <span class="blsp-spelling-error" id="SPELLING_ERROR_2">novembro</span>. Programe-se...<div><br /></div><div>A conferência será na <a href="http://www.cpqd.com.br">Fundação <span class="blsp-spelling-error" id="SPELLING_ERROR_3">CPQD</span></a>.</div><div><br /></div><div>Em breve vamos divulgar as chamadas de trabalhos e de <span class="blsp-spelling-error" id="SPELLING_ERROR_4">treinamentos</span>. A medida que tivermos novas informações, vamos <span class="blsp-spelling-error" id="SPELLING_ERROR_5">atualizar</span> as páginas em <a href="http://www.owasp.org/index.php?title=AppSec_Brasil_2010_(pt-br)">português</a> e <a href="http://www.owasp.org/index.php?title=AppSec_Brasil_2010">inglês</a>.</div><div><br /></div><div>Estamos buscando patrocinadores. Quem tiver interesse pode entrar em <span class="blsp-spelling-error" id="SPELLING_ERROR_6">contato</span> com a comissão organizadora no email <span class="blsp-spelling-error" id="SPELLING_ERROR_7">organizacao</span>2010 'arroba' <span class="blsp-spelling-error" id="SPELLING_ERROR_8">appsecbrasil</span>.<span class="blsp-spelling-error" id="SPELLING_ERROR_9">org</span>.</div>Lucashttp://www.blogger.com/profile/08800032441644166513noreply@blogger.com0tag:blogger.com,1999:blog-1243266050138262294.post-67096124586678119672010-02-03T13:23:00.002-02:002010-02-03T13:33:52.403-02:00AppSec Latin America 2011<blockquote></blockquote>Passei os últimos dias trabalhando para viabilizar o AppSec Brasil 2010. Em breve eu vou postar mais sobre esse assunto...<div><br /></div><div>Como estou participando do <a href="http://www.owasp.org/index.php/Global_Committee_Pages">Global Conferences Committee</a> do <a href="http://www.owasp.org">OWASP</a>, estou ajudando a montar uma grande "Chamada de Conferências" para 2011. Assim surgiu a idéia de lançar uma chamada local por cidades que queiram sediar uma AppSec em 2011. A idéia cresceu e virou o email abaixo, publicado também no <a href="http://owasp.blogspot.com/2010/02/owasp-appsec-latin-america-2011.html">blog do OWASP</a>:</div><div><br /></div><div><span class="Apple-style-span" style="font-family: arial, sans-serif; font-size: 13px; border-collapse: collapse; ">Dear Fellow OWASP Leaders,<br /><br />in 2009 we had the first AppSec in South America, which was organised<br />by the Brazilian Chapter in Brasilia, with more than 200 participants<br />from Brazil, Argentina and Peru. For 2010, we are already organising<br />another AppSec Brasil, which will be in Campinas (90 km from the City<br />of São Paulo). We will soon begin releasing the call for presentations<br />for 2010 and hope to have even more submissions from Latin America<br />than we had last year. We have set the goal to make the transition<br />from AppSec Brasil to AppSec Latin America, and need your help in<br />doing so.<br /><br />As you may know, OWASP's Global Conferences Committee will soon issue<br />a Call for Conferences for year 2011. Before answering to this call,<br />we are planning to release a Call for Conference Locations, so that<br />candidate teams around Latin America can propose local venues to host<br />a big AppSec Latin America Conference for 2011.<br /><br />We believe this will be the first big effort to get together the Latin<br />American OWASP Community in a big meeting, which would increase<br />collaboration among our Chapter members and improve the presence of<br />the community in OWASP.<br /><br />We hope to have your support for this effort and are eager to hear<br />your comments and suggestions. We also ask you to help us spread the<br />word to other Chapters or groups we may have missed.<br /><br />Best Regards,<br /><br />Wagner Elias (<a href="mailto:wagner.elias@owasp.org" target="_blank" style="color: rgb(119, 153, 187); ">wagner.elias@owasp.org</a>)<br />Eduardo Camargo Neves (<a href="mailto:eduardo.neves@owasp.org" target="_blank" style="color: rgb(119, 153, 187); ">eduardo.neves@owasp.org</a>)<br />Lucas C. Ferreira (<a href="mailto:lucas.ferreira@owasp.org" target="_blank" style="color: rgb(119, 153, 187); ">lucas.ferreira@owasp.org</a>)</span></div><div><blockquote></blockquote><br /></div>Lucashttp://www.blogger.com/profile/08800032441644166513noreply@blogger.com0tag:blogger.com,1999:blog-1243266050138262294.post-74575412593708500562010-01-15T17:39:00.002-02:002010-01-15T18:00:16.861-02:00SSLJá tem algum tempo que eu descobri o <a href="http://www.ssllabs.com">SSL Labs</a>, principalmente devido ao fato de que o responsável por este projeto é o autor original do <a href="http://www.modsecurity.org">ModSecurity</a>, o Ivan Ristic. O SSL labs é o site onde o Ivan Ristic coloca as suas descobertas sobre o SSL, que é o seu tema de interesse no momento.<br /><br />E o site já tem bastante coisa interessante como o "<a href="https://www.ssllabs.com/ssldb/">Public SSL Server Database</a>", que é uma base de dados de servidores que usam SSL, em conjunto com uma ferramenta que analisa as configurações de SSL de cada servidor. No final, cada servidor recebe uma nota. Os resultados são bem legais para quem tem de configurar servidores web com SSL, embora o serviço não reconheça certificados da <a href="http://acraiz.icpbrasil.gov.br/">ICP-Brasil</a>.<br /><br />Além do SSL Labs, o protocolo SSL ganhou as manchetes ultimamente por causa do Google, que colocou o <a href="http://gmailblog.blogspot.com/2008/07/making-security-easier.html">acesso ao GMail utilizando SSL como padrão</a>. Esta é uma boa notícia, embora não resolva todos os problemas de segurança.<br /><br />Outra notícia recente foi a descoberta de uma <a href="http://www.kb.cert.org/vuls/id/120541">vulnerabilidade</a> no protocolo, levando à necessidade de atualização tanto de browsers quanto de servidores. Pelo lado positivo, a ferramenta do SSL Labs permite detectar se os servidores estão vulneráveis.<br /><br />Enfim, o SSL é importante mas não resolve todos os problemas de segurança na web. Mas também não adianta se não for implementado corretamente.Lucashttp://www.blogger.com/profile/08800032441644166513noreply@blogger.com0tag:blogger.com,1999:blog-1243266050138262294.post-88250054583876027882009-12-11T11:17:00.004-02:002009-12-15T13:43:12.971-02:00RENASIC e OWASPOntem eu participei da primeira reunião presencial para discussão da <a href="https://wiki.planalto.gov.br/comsic/bin/view/ComSic/RENASIC">RENASIC</a> (Rede Nacional de Segurança da Informação e Criptografia). Esta rede está sendo organizada pelo Gabinete de Segurança Institucional da Presidência da República (<a href="http://www.presidencia.gov.br/estrutura_presidencia/gsi/">GSI</a>) com o objetivo de "elevar a competência brasileira em Segurança da Informação e Criptografia." Uma das tarefas pirncipais da rede é aproximar os pesquisadores e demais profissionais brasileiros de áreas ligadas à Segurança da Informação.<br /><br />A rede é composta por laboratórios temáticos, que por sua vez são compostos por diferentes projetos de pesquisa ou desenvolvimento. Em princípio, os projetos são independentes, mas a existência da rede deve possibilitar a aproximação de projetos que apresentem sinergias. Por exemplo, ontem foram apresentados dois projetos que me pareceram complementares: alguns físicos da UFMG (que por acaso eu conhecia há muitos anos por causa da minha mãe) estão trabalhando na geração de números aleatórios a partir de fenômenos físicos e o prof. Joel (da UnB) falou sobre um projeto de desenvolvimento de protocolo para distribuição de chaves para o <a href="http://pt.wikipedia.org/wiki/One-time_pad"><span style="font-style: italic;">One Time Pad</span></a>. A rede propiciou o encontro das duas equipes e talvez possa prover mais incentivos para que trabalhem juntos, já que os físicos vão precisar de aplicações para o gerador e o uso de <span style="font-style: italic;">One Time Pad</span> é uma excelente aplicação para este projeto.<br /><br />Durante a reunião, me lembrei de um dos problemas que eu vejo na RENASIC: apesar do nome, está se formando uma rede com um foco muito grande em criptografia. Não por culpa dos organizadores, mas porque a maioria da comunidade acadêmica de Segurança da Informação no Brasil é composta por critógrafos. Os demais pesquisadores ou são poucos, ou não formaram uma comunidade coesa o suficiente para que sejam devidamente notados.<br /><br />Me lembrei também que preferi não apresentar projeto para a RENASIC devido a meu crescente envolvimento no OWASP, uma vez que não gosto de me comprometer com projetos para os quais não terei como dedicar meu tempo. Pretendo no entanto pensar em possibilidades de interação do OWASP com a RENASIC, pois acho que existe uma boa possibilidade de crescimento para ambos.<br /><br />Num paralelo entre a RENASIC e o OWASP, acho que existem alguma semelhanças. Primeiro porque o OWASP é principalmente uma rede, no sentido de que a existência da organização formal (OWASP Foundation) serve apenas para suporte às atividades da rede. Segundo porque um dos grande méritos do OWASP é o de aproximar os interessados em segurança de aplicações, num paralelo com o objetivo principal da RENASIC. Outra semelhança é que a base para ambas as iniciativas são projetos, a princípio independentes, mas com grande potencial para sinergias ou colaborações.<br /><br />Por outro lado, sendo a RENASIC uma iniciativa governamental e que busca o financiamento de fontes governamentais, ela já nasce com a necessidade de uma formalização maior. No caso do OWASP, a formalização normalmente vem a posteriori, mas talvez seja possível aproveitar pelo menos parte do modelo do OWASP na RENASIC.<br /><br />No OWASP, os projetos surgem organicamente: uma pessoa ou grupo propõe um projeto e começa a trabalhar nele. De início, o OWASP fornece alguma estrutura básica para o projeto, como um espaço na wiki e listas de discussão por email. Cabe aos líderes de cada projeto angariar seguidores e trabalhar para que o projeto cresça. Assim, os projetos que geram mais interesse acabam crescendo e alguns projeto que não atraem voluntários podem ser abandonados. De tempos em tempos, ocorrem rodadas de financiamento de projetos (chamados de <span style="font-style: italic;">season of code</span>) em que os projeto concorrem pelas verbas disponíveis. Projetos mais importantes podem também conseguir financiamento direto por empresas interessadas ou até financiamento do OWASP, dependendo do caso.<br /><br />O controle das verbas é feito pela <span style="font-style: italic;">OWASP Foundation</span>, que também administra a infra-estrutura básica para o funcionamento da associação. As verbas vem de doações ou do lucro ocorrido em eventos e da venda de material (de camisetas a livros).<br /><br />Voltando ao RENASIC, talvez fosse interessante tentar emular a forma orgânica como os projetos do OWASP nascem e se desenvolvem, com o <a href="http://dsic.planalto.gov.br/">DSIC</a> atuando no papel de facilitador e de agente de controle e alocação das verbas destinadas aos projetos. A RENASIC teria assim como papéis principais:<br /><ol><li>Agregar a comunidade em torno de uma infra-estrutura que permita o desenvolvimento dos projetos;</li><li>Organizar encontros para discussão e apresentação dos projetos, permitindo a interação e descoberta de sinergias;</li><li>Manter o fluxo adequado de recursos para os projetos, na medida do possível.</li></ol>Em suma, acredito que a RENASIC poderia atuar de forma aberta e mais orgânica, de forma a facilitar a agregação de mais projetos e/ou pesquisadores. Pela experiência do OWASP, a medida que a comunidade cresce, atrai mais a atenção e o interesse em participar aumenta. Fora que a possibilidade de fomento também é um excelente atrativo.Lucashttp://www.blogger.com/profile/08800032441644166513noreply@blogger.com0tag:blogger.com,1999:blog-1243266050138262294.post-52368647359070801572009-11-05T16:31:00.002-02:002009-11-05T16:33:20.357-02:00AppSec Brasil pra quem perdeuO AppSec Brasil 2009 acabou. O evento foi muito legal, mas eu sou inteiramente suspeito pra falar a respeito.<br /><br />Quem não foi ainda pode aproveitar as apresentações, que estão disponíveis a partir da página <a href="http://www.owasp.org/index.php/AppSec_Brasil_2009_%28pt-br%29#tab=Arquivos_das_Apresenta.C3.A7.C3.B5es">http://www.owasp.org/index.php/AppSec_Brasil_2009_%28pt-br%29#tab=Arquivos_das_Apresenta.C3.A7.C3.B5es</a>Lucashttp://www.blogger.com/profile/08800032441644166513noreply@blogger.com0tag:blogger.com,1999:blog-1243266050138262294.post-43082448039570682012009-10-25T11:34:00.004-02:002009-10-25T11:46:33.556-02:00AppSec Brasil - notícias de última horaAlgumas notícias de última hora sobre o AppSec Brasil:<br /><ol><li>Sexta-feira, tivemos uma pequena confusão. No âmbito da <a href="http://www.ticontrole.gov.br">TI-Controle</a>, várias instituições ficaram encarregadas de apoiar a conferência com passagens aéreas. Até o início de semana passada, todas haviam entregue as passagens prometidas, menos o TSE, que estava encarregado de 2 passagens internacionais. Na quinta à noite, ainda não havia um decisão a respeito (ou seja, nem sabíamos se eles iam mesmo fornecer as passagens). Então conseguimos autorização para procurar um patrocínio de emergência. Conseguimos então o patrocínio da <a href="http://www.convisosec.com">Conviso</a> e da <a href="http://www.leadcomm.com.br">LeadComm</a>, que forneceram as passagens necessárias.</li><li>Teremos transmissão ao vivo das palestras via Internet a partir da URL: <a href="http://www.camara.gov.br/webcamara">www.camara.gov.br/webcamara</a>. Assim, se você não puder vir nos encontrar, poderá acompanhar o conteúdo via Internet.</li><li>Recebi ontem a notícia de que o Jason Li está doente (gripe suína) e não virá para a conferência. Como ele faria sua apresentação junto com o Jerry Hoff, o Jerry vai assumir a palestra sozinho.</li></ol>Nesta terça começa a conferência. Tomara que não tenhamos mais sustos até lá.Lucashttp://www.blogger.com/profile/08800032441644166513noreply@blogger.com0tag:blogger.com,1999:blog-1243266050138262294.post-15463490718758548192009-10-17T21:47:00.006-03:002009-10-17T22:24:03.509-03:00AppSec Brasil - agora vai?<a onblur="try {parent.deselectBloggerImageGracefully();} catch(e) {}" href="http://2.bp.blogspot.com/_dYor-mZMKe8/StpsaUdEdQI/AAAAAAAAAbc/4P1OBDPWr5s/s1600-h/folder.png"><img style="margin: 0px auto 10px; display: block; text-align: center; cursor: pointer; width: 400px; height: 283px;" src="http://2.bp.blogspot.com/_dYor-mZMKe8/StpsaUdEdQI/AAAAAAAAAbc/4P1OBDPWr5s/s400/folder.png" alt="" id="BLOGGER_PHOTO_ID_5393742703152624898" border="0" /></a><br /><a onblur="try {parent.deselectBloggerImageGracefully();} catch(e) {}" href="http://2.bp.blogspot.com/_dYor-mZMKe8/StpsnZFYkEI/AAAAAAAAAbk/QDpJRly-MXE/s1600-h/folder2.png"><img style="margin: 0px auto 10px; display: block; text-align: center; cursor: pointer; width: 400px; height: 283px;" src="http://2.bp.blogspot.com/_dYor-mZMKe8/StpsnZFYkEI/AAAAAAAAAbk/QDpJRly-MXE/s400/folder2.png" alt="" id="BLOGGER_PHOTO_ID_5393742927733755970" border="0" /></a>As últimas semanas foram cheias e <span class="blsp-spelling-error" id="SPELLING_ERROR_0">estressantes</span> com os preparativos do <span class="blsp-spelling-error" id="SPELLING_ERROR_1">AppSec</span> Brasil. Com as inscrições rolando, foi necessário ficar de olho e também resolver problemas que pudessem ocorrer.<br /><br />Fora as inscrições, tivemos preocupações com os prazos para que os convidados <span class="blsp-spelling-error" id="SPELLING_ERROR_2">estadunidenses</span> recebessem seus vistos de entrada no Brasil. Esse negócio de reciprocidade é muito bonito no papel (e eu também achava o máximo) mas parece atrapalhar mais a gente do que eles. Podiam até exigir visto, mas deveria ser mais fácil conseguir o visto. Fiquei sem saber se a burocracia é só por tradição do governo brasileiro ou se é como retribuição pela burocracia em se tirar um visto para entrar nos EUA.<br /><br />Enfim, os vistos parecem estar encaminhados finalmente.<br /><br />Dentre as últimas novidade temos também que os cartazes do evento ficaram prontos. Em breve, teremos também os <span class="blsp-spelling-error" id="SPELLING_ERROR_3">folders</span> com a programação. O <span class="blsp-spelling-error" id="SPELLING_ERROR_4">folder</span> é a ilustração deste <span class="blsp-spelling-error" id="SPELLING_ERROR_5">post</span>. O cartaz está aí abaixo.<br /><br /><a onblur="try {parent.deselectBloggerImageGracefully();} catch(e) {}" href="http://3.bp.blogspot.com/_dYor-mZMKe8/StptWsf4r2I/AAAAAAAAAbs/-Aru42crXx4/s1600-h/cartaz.png"><img style="margin: 0px auto 10px; display: block; text-align: center; cursor: pointer; width: 283px; height: 400px;" src="http://3.bp.blogspot.com/_dYor-mZMKe8/StptWsf4r2I/AAAAAAAAAbs/-Aru42crXx4/s400/cartaz.png" alt="" id="BLOGGER_PHOTO_ID_5393743740399038306" border="0" /></a><br />Ainda temos algumas <span class="blsp-spelling-error" id="SPELLING_ERROR_6">pendências</span>, mas o <span class="blsp-spelling-corrected" id="SPELLING_ERROR_7">principal</span> agora é terminar os preparativos dos materiais, como <span class="blsp-spelling-error" id="SPELLING_ERROR_8">crachás</span>, pastas, <span class="blsp-spelling-error" id="SPELLING_ERROR_9">apostilas</span> de cursos, etc. Já não temos mais vagas nos <span class="blsp-spelling-error" id="SPELLING_ERROR_10">mini</span>-cursos e estamos chegando nos 350 inscritos para as palestras. Em breve todas as vagas estarão esgotadas.Lucashttp://www.blogger.com/profile/08800032441644166513noreply@blogger.com0tag:blogger.com,1999:blog-1243266050138262294.post-1605467812794179482009-09-26T15:06:00.002-03:002009-09-26T15:08:08.542-03:00AppSec Brasil - cahamada para participação<p><b>AppSec Brasil 2009<br /></b></p><p><b>CHAMADA PARA PARTICIPAÇÃO<br /></b></p><p><b>Conferência internacional de Segurança de Aplicações</b>, organizada e promovida pela comunidade TI-controle e pelo Centro de Informática da Câmara dos Deputados, em parceria com o OWASP, Capítulo brasil, e com apoio da Universidade de Brasília (UnB).<br /></p><p>O Centro de Informática da Câmara dos Deputados e a Comunidade TI-Controle convidam a todos a participarem da Conferência Internacional de Segurança de Aplicações (AppSec Brasil 2009), que ocorrerá na Câmara dos Deputados (Brasília, DF) de 27 a 30 de outubro de 2009.<br /></p><p>Haverão mini-cursos nos dias 27 e 28 de outubro, seguidos de sessões plenárias de trilha única nos dias 29 e 30 de outubro de 2009. </p><p><b>Keynotes</b></p><p>Dr. Gary McGraw, CTO da Cigital<br /></p><p><i>O Modelo de Maturidade Building Security In (BSIMM)</i></p><p><br /></p><p>Jason Li, Aspect Security<br /></p><p><i>Ágil e Seguro: É possível fazer os dois?</i></p><p><br /></p><p>Dinis Cruz, OWASP Board</p><p><i>Apresentação do Projeto OWASP</i><br /></p><p><br /></p><p>Kuai Hinojosa, NY University e OWASP</p><p><i>Implementando Aplicações Web Seguras Usando Recursos do OWASP</i></p><p><br /></p><p><b>Palestras</b></p><p>A Conferência contará com palestras técnicas que tratarão diversos aspectos de Segurança de Aplicações. Os temas incluem:</p><ul><li>Segurança de aplicações web</li><li>Otimização de gastos com segurança</li><li><i>SQL Ownage</i></li><li>ferramentas.<br /></li></ul><p><br /></p><p><b>Mini-cursos</b></p><p>A Conferência contará também com 5 mini-cursos:</p><ul><li>Gestão de Riscos de Segurança Aplicada a Web Services</li><li>Segurança Web: Técnicas para Programação Segura de Aplicações</li><li>Segurança Computacional no Desenvolvimento de Web Services</li><li>Tecnologias de Segurança em Web Services</li><li>Hands on Web Application Testing using the OWASP Testing Guide.<br /></li></ul><p><br /></p><p><b>Local</b></p><p>A Conferência ocorrerá na Câmara dos Deputados, em Brasília. As plenárias serão no auditório Nereu Ramos, no Anexo II e os mini-cursos serão no Centro de Formação, Treinamento e Aperfeiçoamento.</p><p><br /></p><p><b>Inscrições</b></p><p>A participação na Conferência será gratuita, mas, devido à limitação de lugares, será necessário inscrever-se previamente.</p><p>As inscrições estarão abertas a partir do dia 29/10/2009 na URL: <a title="http://www.camara.gov.br/appsecbrasil2009" href="http://www.camara.gov.br/appsecbrasil2009" id="h0fi">http://www.camara.gov.br/appsecbrasil2009</a></p><p><br /></p><p><b>Informações</b></p><p>Para maiores informações, favor consultar os sites abaixo ou enviar email para appsec.brasil@camara.gov.br<br /></p><p>Inscrições e informações sobre a conferência: <a title="http://www.camara.gov.br/appsecbrasil2009" href="http://www.camara.gov.br/appsecbrasil2009" id="ajiq">http://www.camara.gov.br/appsecbrasil2009</a></p>Comunidade TI-Controle: <a href="http://www.ticontrole.gov.br/" class="external free" title="http://www.ticontrole.gov.br" rel="nofollow">http://www.ticontrole.gov.br</a> <br />Câmara dos Deputados: <a href="http://www.camara.gov.br/" class="external free" title="http://www.camara.gov.br" rel="nofollow">http://www.camara.gov.br</a>Lucashttp://www.blogger.com/profile/08800032441644166513noreply@blogger.com0tag:blogger.com,1999:blog-1243266050138262294.post-13879711380943326552009-09-21T12:43:00.003-03:002009-09-21T12:45:42.372-03:00Minirreforma eleitoralRecebi recentemente o email abaixo, que copio para ajudar na divulgação.<br /><br />From: Amilcar Brunazo Filho<br />Subject: Minirreforma Eleitoral - veto ao Art. 5º<br /><br />Eleitores e eleitoras brasileiros,<br /><br />Esta mensagem está lhe sendo enviada para lembrar a <b>importância da Auditoria Independente do Software nas Urnas Eletrônicas</b>, criada pelo Art. 5º da minirreforma eleitoral recem-aprovada no Congresso Nacional.<br /><br />Os argumentos técnicos a favor deste dispositivo legal estão apresentados ao final.<br /><br />O Min. Gilmar Mendes (que soltou o banqueiro Daniel Dantas) e o Min. Nelson Jobim (que confessou ter fraudado a Constituição) já anunciaram que vão ao Presidente Lula <b>pedir para vetar</b> este artigo 5º, porque, por um motivo ou outro, <b>preferem manter o eleitor brasileiro sob tutela</b> e sem que tenha acesso a uma forma simples de auditoria do resultado eleitoral.<br /><br />Se você, como nós, acha importante que o resultado dos votos em nossas urnas eletrônicas <b>possa ser conferido de uma maneira simples e facilmente compreensível </b>e que não dependa de complicadas e obscuras tecnologias, solicitamos que repasse cópia desta mensagem a todos os seus conhecidos: eleitores, políticos e jornalistas.<br /><br />Temos até o dia 30 de setembro para convencer o Presidente Lula a não vetar o Art. 5º da minirreforma eleitoral.<br /><br />Grato por sua atenção,<br /><br /><pre> Fórum do Voto Eletrônico<br /> <a href="http://www.votoseguro.org/" target="_blank">www.votoseguro.org</a><br /> -----------------<br /> SEI EM QUEM VOTEI,<br /> ELES TAMBÉM,<br /> MAS SÓ ELES SABEM QUEM RECEBEU MEU VOTO<br /><br />------------------------------<wbr>-----------------------------<br /></pre><span style="font-size:130%;"><b><i> Minirreforma Eleitoral - Artigo 5º</i></b></span><br /><br /><b><i>A Importância da Auditoria Independente do Software nas Urnas Eletrônicas<br /></i></b><br /> O Brasil já foi pioneiro em tecnologia eleitoral mas, passados 13 anos da chegada das urnas eletrônicas, estamos ficando para trás.<br /><br /><b> Nossas urnas eletrônicas foram rejeitadas por mais de 50 países </b>que vieram conhecê-las porque não oferece uma forma de conferir seu resultado de forma efetiva e simples.<br /><br /> O Art. 5º da minirreforma eleitoral <b>alinha o Brasil com todos os demais países que estão modernizando suas eleições</b> pela adoção do moderno conceito de <b>Auditoria Independente do Software das Urnas Eletrônicas</b>.<br /><br /> Este conceito foi proposto pelo mesmo inventor da técnica de Assinatura Digital, Ph.D. Ronald Rivest, depois que compreendeu que <b>só a assinatura digital não consegue garantir a integridade do resultado de urnas eletrônicas</b>.<br /><br /> A <b>Auditoria Independente do Software </b>se dá por meio da recontagem do <b>Voto Impresso Conferido Pelo Eleitor</b> em 2% das urnas eletrônicas sorteadas ao final.<br /><br /> A <b>Auditoria Independente do Software </b>cria uma forte defesa <b>do eleitor contra fraudes internas no software</b> das urnas eletrônicas, o que não ocorre com as atuais formas existentes de auditoria como assinaturas digitais, registros digitais do voto, testes de invasão externa e biometria do eleitor.<br /><br /> A <b>Auditoria Independente do Software </b>já foi ou está sendo adotada como padrão exigido em países como: EUA, Alemanha, Holanda,Reino Unido e, na América Latina, na Venezuela, na Argentina e no México.<br /><br /> Ninguém mais aceita máquinas eletrônicas de votar sem <b>materialização do voto e sem auditoria independente</b>.<br /><b><i><br /><br />Os erros nos argumentos contra a Auditoria Independente do Software </i></b><br /><br /> Nasce dos administradores eleitorais do Brasil uma forte resistência contra a <b>Auditoria Independente do Software</b> e pedem para que o Presidente Lula o vete o Art. 5º da minirreforma eleitoral.<br /><br /> Mas seus argumentos contêm erros como os seguintes:<br /><br />- o <i>voto impresso trará de volta as fraudes do voto manual<br /></i> <dl><dd>Falso – voto impresso conferido pelo eleitor difere do voto manual e não tem as mesmas fragilidades. Não será levado pelo eleitor para fora da seção eleitoral e estará sempre relacionado a um voto digital de forma que um serve de controle do outro. Se um voto impresso for adulterado o voto digital acusará e vice-versa. A fraude será sempre detectada;<br /><br /></dd></dl><br />- existem formas mais modernas de auditoria como Assinaturas Digitais, o Registro Digital dos Votos, o Teste de Invasão Externa e a Biometria<br /><dl><dd>Falso – a assinatura digital é sempre conferida partindo do próprio software da urna (mesmo quando se usa um programa auxiliar externo) e o Registro Digital dos Votos também é criado por este mesmo software. Portanto, são técnicas totalmente DEPENDENTES DO SOFTWARE e NÃO ATENDEM ao moderno conceito de Auditoria Independente do Software das urnas.<br /></dd><dd>Já o teste de invasão é útil para defender o sistema contra ataques externos mas não serve para defender contra ataques internos, os mais nocivos.<br /></dd><dd>E a biometria do eleitor é para impedir que alguem vote no lugar de outro, portanto, a biometria não defende o eleitor de adulteração do software da urna.<br /><br /></dd></dl><br />- uma experiência em 2002 teria mostrado que o voto impresso causa transtornos<br /><dl><dd>Falso – por exigência da OEA, na Venezuela é usado o voto impresso conferido pelo eleitor sem maiores problemas desde 2004. Os transtornos ocorridos na experiência de 2002 no Brasil apenas demonstram que o administrador eleitoral não soube projetar esta forma nova de votar. Ocorreu falta de treinamento do eleitor, que não foi avisado das diferenças de votar em máquinas com voto impresso.<br /><br /></dd></dl><br />- vai custar muito caro<br /><dl><dd>Falso – o TSE já está planejando comprar 500 mil novas urnas com biometria para substituir as atuais. Para adaptá-las à Auditoria Independente do Software basta criar um visor para que o eleitor possa conferir e confirmar o votoimpresso. O custo para isto é baixo. Certamente, o custo da Auditoria Independente do Software é dezenas de vezes MENOR que o custo da biometria, que o TSE já está implantando antes mesmo de ter autorização legislativa;<br /></dd><dd>A tecnologia de impressão evoluiu e está consistente. A impressão de documentos é largamente usada 24 horas por dia sem restrições nos caixas eletrônicos; </dd></dl>Lucashttp://www.blogger.com/profile/08800032441644166513noreply@blogger.com0tag:blogger.com,1999:blog-1243266050138262294.post-18902874795975741942009-09-11T09:36:00.005-03:002009-09-11T10:36:59.277-03:00Urnas eletrônicas - uma avanço afinal<a onblur="try {parent.deselectBloggerImageGracefully();} catch(e) {}" href="http://blog.patrulleros.com.br/up/p/pa/blog.patrulleros.com.br/img/urna_eletronica.jpg"><img style="margin: 0px auto 10px; display: block; text-align: center; cursor: pointer; width: 197px; height: 178px;" src="http://blog.patrulleros.com.br/up/p/pa/blog.patrulleros.com.br/img/urna_eletronica.jpg" alt="" border="0" /></a><br />Finalmente temos uma luz no fim do túnel. O TSE resolveu permitir <a href="http://www.tse.gov.br/internet/eleicoes/teste_seguranca.htm">testes de segurança nas urnas eletrônicas brasileiras</a>. Embora ainda coloque restrições que vão dificultar os testes e reduzir a qualidade dos resultados obtidos nos testes, esta nova posição do TSE é um avanço significativo e bem vindo.<br /><br />O TSE vai permitir que pesquisadores tenham acesso às urnas para a execução de testes de segurança. No entanto, mantém uma série de restrições que vãorestringir a eficácia dos testes:<br /><ul><li>não haverá acesso ao código fonte</li><li>o plano de testes deverá ser submetido com antecedência e não poderá ser alterado</li><li>o prazo para a realização dos testes é de apenas alguns dias</li><li>os testes deverão ser realizados no ambiente do TSE, o que restringe a liberdade de ação dos pesquisadores.</li></ul>Ou seja, tivemos um avanço mas ainda temos muito a avançar. A abertura total do código fonte das urnas é a única forma de dar a transparência necessária ao processo eleitoral. Por outro lado, podemos ver que, embora lentamente, o TSE está evoluindo...Lucashttp://www.blogger.com/profile/08800032441644166513noreply@blogger.com0tag:blogger.com,1999:blog-1243266050138262294.post-57808666671046370122009-09-02T14:12:00.003-03:002009-09-02T14:18:19.520-03:00AppSec Brasil - Grade de apresentaçõesFinalmente as grades das <a href="http://www.owasp.org/index.php/AppSec_Brasil_2009_%28pt-br%29#tab=Agenda">apresentações</a> e dos <a href="http://www.owasp.org/index.php/AppSec_Brasil_2009_%28pt-br%29#tab=Mini-Cursos">mini-cursos</a> estão prontas e publicadas no site do evento, juntamente com os <a href="http://www.owasp.org/index.php/AppSec_Brasil_2009_%28pt-br%29#tab=Resumos_das_Palestras">resumos</a>. Assim considero que a fase de definição do conteúdo está terminada. Temos agora que colocar no ar a página de inscrições e terminar o material de divulgação.Lucashttp://www.blogger.com/profile/08800032441644166513noreply@blogger.com0tag:blogger.com,1999:blog-1243266050138262294.post-63694750726241823852009-08-16T16:14:00.002-03:002009-08-16T16:30:33.131-03:00AppSec Brasil - palestras e mini-cursosCom uma semana de atraso, conseguimos fechar a primeira versão grade de palestras e <span class="blsp-spelling-error" id="SPELLING_ERROR_0">mini</span>-cursos. Pedimos confirmação para todos os autores das propostas aprovadas para que possamos confirmar esta versão da grade.<br /><br />Ainda não comunicamos aos demais autores, por considerarmos que eles estão em uma lista de espera. O seja, se as propostas que se classificaram no topo da lista não forem confirmadas, vamos chamar os seguintes, na ordem definida pelo <span class="blsp-spelling-error" id="SPELLING_ERROR_1">comitê</span> de programa. Assim consideramos que ninguém foi <span class="blsp-spelling-error" id="SPELLING_ERROR_2">desclassificado</span> ainda.<br /><br />Quando tivermos a grade completa, vamos então poder avisar aos que não foram <span class="blsp-spelling-error" id="SPELLING_ERROR_3">selecionados</span>.<br /><br />Com relação aos <span class="blsp-spelling-error" id="SPELLING_ERROR_4">mini</span>-cursos, já temos 3 deles definidos e colocados na página do evento. Temos mais 2 a serem confirmados, que publicaremos assim que recebermos a confirmação.Lucashttp://www.blogger.com/profile/08800032441644166513noreply@blogger.com0