This site is the archived OWASP Foundation Wiki and is no longer accepting Account Requests.
To view the new OWASP Foundation website, please visit https://owasp.org
Difference between revisions of "AppSecLatam2011 (pt-br)"
Magno Logan (talk | contribs) |
|||
(101 intermediate revisions by 3 users not shown) | |||
Line 73: | Line 73: | ||
|} | |} | ||
<!-- End Banner --> | <!-- End Banner --> | ||
+ | |||
+ | [[Image:FlyerOwasp2011.png]] | ||
==== CFT e CFP ==== | ==== CFT e CFP ==== | ||
Line 91: | Line 93: | ||
== Comitê de Programa == | == Comitê de Programa == | ||
− | + | *Leandro Gomes | |
− | * Leandro Gomes | + | *Leonardo Buonsanti |
− | * Leonardo Buonsanti | + | *Leonardo Lemes |
− | * Leonardo Lemes | + | *Luiz Eduardo |
− | * Luiz Eduardo | + | *Luiz Otávio Duarte |
− | * Luiz Otávio Duarte | + | |
− | |||
− | |||
==== Keynotes ==== | ==== Keynotes ==== | ||
Line 115: | Line 115: | ||
Bryan has spoken at security industry conferences such as Black Hat, RSA Conference, BlueHat and TechEd on a diverse range of topics including NoSQL, RIA architecture, REST, cryptography, denial-of-service defense, URL rewriting, and applying secure development processes to Agile projects. He was the author of the MSDN Magazine column Security Briefs, and is the coauthor of the books Ajax Security (Addison-Wesley, 2007) and the upcoming Secure Web Applications, A Beginner's Guide (McGraw-Hill, 2011). [http://www.linkedin.com/in/bryanjsullivan Linkedin] | Bryan has spoken at security industry conferences such as Black Hat, RSA Conference, BlueHat and TechEd on a diverse range of topics including NoSQL, RIA architecture, REST, cryptography, denial-of-service defense, URL rewriting, and applying secure development processes to Agile projects. He was the author of the MSDN Magazine column Security Briefs, and is the coauthor of the books Ajax Security (Addison-Wesley, 2007) and the upcoming Secure Web Applications, A Beginner's Guide (McGraw-Hill, 2011). [http://www.linkedin.com/in/bryanjsullivan Linkedin] | ||
+ | |} | ||
+ | |||
+ | <br> | ||
+ | |||
+ | == Michael Craigue == | ||
+ | |||
+ | {| style="background-color: transparent" | ||
+ | |- | ||
+ | ! width="200" align="center" | <br> | ||
+ | ! width="1000" align="center" | <br> | ||
+ | |- | ||
+ | | align="center" | https://www.owasp.org/images/0/0c/MichaelCraigue.jpg | ||
+ | | align="justify" | [http://www.linkedin.com/in/craigue Michael Craigue] (CISSP/CSSLP) is Director of the Security Consulting group at Dell, with 14 team members in Brazil, India, Malaysia, and the US. He and his team have responsibility for consulting with all of Dell’s internal organizations, including IT, Product Group, Services, and Mergers and Acquisitions, with a particular focus on the Secure Software Development Lifecycle. He has taught Database Management and Business Intelligence / Knowledge Management at St. Edward’s University in their MBA / MS CIS programs. Prior to joining Dell’s information security team, he spent a decade building Web and database applications. He has a PhD from the University of Texas at Austin in Higher Education Administration / Finance. [http://www.linkedin.com/in/craigue Linkedin] | ||
|} | |} | ||
Line 133: | Line 146: | ||
− | == | + | == Dinis Cruz == |
{| style="background-color: transparent" | {| style="background-color: transparent" | ||
|- | |- | ||
− | ! | + | ! align="center" width="200" | <br> |
− | ! | + | ! align="center" width="1000" | <br> |
|- | |- | ||
− | | align="center" | https://www.owasp.org/images/ | + | | align="center" | https://www.owasp.org/images/6/6c/Dcruz-resized-137.jpg |
− | | align="justify" | [http:// | + | | align="justify" | [http://uk.linkedin.com/in/diniscruz Dinis Cruz] is a Security Consultant based in London (UK) and specialized in: ASP.NET/J2EE Application Security, Application Security audits and .NET Security Curriculum Development. |
+ | |||
+ | For the past couple years Dinis has focused on the field of Static Source Code Analysis and Dynamic Website Assessments (aka penetration testing), and is the main developer of the OWASP O2 Platform which is an Open Source project that is focused on 'Automating Security Consultants Knowledge/Workflows' and 'Allowing non-security experts to access and consume Security Knowledge'. Dinis is currently focused on making the O2 Platform the industry standard for consuming, instrumenting and data-sharing between: the multiple WebAppSec tools, the Security consultants and the final users (from management to developers). | ||
+ | |||
+ | Past industry experience include: running a small Software/Consultancy business, acting as CTO for a Portuguese University, being part of a Security Assessment team (Pentesting and Source Code Assessment) for a global Bank (ABN AMRO), taking the role of Directory of Advanced Technologies at Ounce Labs (acquired by IBM), performing Web Application security assessments on a large number of languages/technologies/frameworks and being a very active participant and enabler at OWASP. | ||
+ | |||
+ | Dinis is an active trainer on .Net security, having written and delivered courses for Ounce Labs, IOActive, Foundstone, Intense School and KPMG (at multiple locations including BlackHat). Dinis has also delivered a number of presentations and keynote speeches at multiple OWASP and Security related conferences. | ||
+ | |||
+ | At OWASP, Dinis is currently the leader of the OWASP O2 Platform project and was previous involved with: OWASP Projects Committee, OWASP Connections Committee and OWASP Foundation Board (were he was been a key driver on a number of major OWASP Initiatives: OWASP Summit 2011 OWASP Seasons of Code, OWASP Summit 2008, OWASP Community building and OWASP Chapter-lead Training). [http://uk.linkedin.com/in/diniscruz Linkedin] | ||
|} | |} | ||
+ | |||
Line 149: | Line 171: | ||
== Agenda == | == Agenda == | ||
− | + | '''Treinamento 1 - ModSecurity Training''' | |
+ | |||
+ | '''Data:''' 05 de Outubro de 2011 - 9h até 17h30min | ||
+ | |||
+ | '''Idioma:''' Português | ||
+ | |||
+ | '''Instrutor''': Breno Silva | ||
+ | |||
+ | '''Requisitos''': | ||
+ | Notebook/desktop com VMware/VMplayer instalado, pois será utilizada uma imagem de máquina virtual disponibilizada pelo instrutor. | ||
+ | |||
+ | '''Resumo''': | ||
+ | This is a Hands-On traning about ModSecurity (WAF). People in this class will learn the main topics of ModSecurity, including installation, modes of deployment, configuration, rule customization and logging. | ||
+ | |||
+ | '''1. O que é ModSecurity?''' | ||
+ | * Como instalar | ||
+ | * Arquiteturas | ||
+ | * Exercicio 1 | ||
+ | |||
+ | '''2. Configurando ModSecurity''' | ||
+ | * Principais diretivas de configuração | ||
+ | * Core Rule Set (CRS) | ||
+ | * Exercicio 1 | ||
+ | * Exercicio 2 | ||
+ | |||
+ | '''3. Customizando regras''' | ||
+ | * Sintaxe | ||
+ | * Fases | ||
+ | * Principais variáveis | ||
+ | * Principais operadores | ||
+ | * Principais ações | ||
+ | * Funções de transformação | ||
+ | * Exercicio 1 | ||
+ | * Exercicio 2 | ||
+ | * Exercicio 3 | ||
+ | * Exercicio 4 | ||
+ | |||
+ | '''4. Logging''' | ||
+ | * Entendendo as Log parts | ||
+ | * Exercicio 1 | ||
+ | |||
+ | '''Sobre o instrutor''': | ||
+ | Breno is a computer scientist with over 8 years experience in Information Technology, experienced with a wide range of software development techniques and languages, security systems and network technologies. Breno brings a deep mathematical education, supporting research and algorithm design for network anomaly detection mechanisms in high-speed networks. Breno is currently a security researcher for TrustWave Spiderlabs team, also the maintainer of ModSecurity, developement team member of Suricata IDS/IPS. He worked as a computer incidente response team member for the Telecom Industry in Latin America. Breno resides in Brasília, Brazil. | ||
+ | |||
+ | |||
+ | '''Arquivos''': | ||
+ | |||
+ | [https://www.owasp.org/images/c/ca/AppSec_ModSec_final.pdf AppSec_ModSec_final.pdf] | ||
+ | |||
+ | |||
+ | ------------------------------ | ||
+ | '''Treinamento 2 - Introduction to Web Application Security''' | ||
+ | |||
+ | '''Data:''' 05 de Outubro de 2011 - 9h até 17h30min | ||
+ | |||
+ | '''Idioma:''' Português | ||
+ | |||
+ | '''Instrutor:''' Wagner Elias | ||
+ | |||
+ | '''Requisitos''': | ||
+ | Notebook/desktop com VMware/VMplayer instalado, pois será utilizada uma imagem de máquina virtual disponibilizada pelo instrutor. | ||
+ | |||
+ | '''Resumo''': | ||
+ | |||
+ | This training will help you will gain skills on how to assess applications from a hacker's point of view, understand application security vulnerabilities and learn how to close these security holes in your Java or .Net applications so they are never exploited by a hacker. This intensive one day course focuses on the most common web application security problems, including aspects of both the OWASP Top Ten (2010) and the MITRE Top 25. | ||
+ | |||
+ | Hands on | ||
+ | |||
+ | The students will participate in a number of hands-on security testing exercises where they attack a live web application (i.e., WebGoat) that has been seeded with common web application vulnerabilities and then use proxy tools (i.e., Webscarab) to complete the exercises. | ||
+ | |||
+ | '''Sobre o Instrutor''': | ||
+ | |||
+ | Wagner Elias tem ampla experiência na condução de projetos em IT Security com projetos desenvolvidos em empresas dos mais diversos segmentos. É fundador do capítulo brasileiro da OWASP (Open Web Application Security Project); ocupou o cargo de diretor de conteúdo na gestão 2006-2008 e de eventos da gestão 2008-2010 do capítulo brasileiro da ISSA (Information System Security Association). É co-fundador e sócio da Conviso Application Security, onde atua como CTO (Chief Technical Officer), responsável pela gestão de pesquisa e desenvolvimento de projetos de consultoria em segurança de aplicações. | ||
+ | |||
+ | |||
+ | |||
+ | |||
+ | ------------------------------------- | ||
+ | '''Treinamento 3 - Introdução à criptografia ilustrada em Java para programadores web''' | ||
+ | |||
+ | '''Data:''' 05 de Outubro de 2011 - 9h até 17h30min | ||
+ | |||
+ | '''Idioma:''' Português | ||
+ | |||
+ | '''Instrutor:''' Alexandre Melo Braga | ||
+ | |||
+ | '''Resumo''': | ||
+ | A criptografia é a única tecnologia capaz de proteger dados em trânsito. O mimicurso terá o seguinte conteúdo geral: criptografia simétrica, criptografia assimétrica, modos de operação de cifras de bloco, funções de hash, funções MAC, geradores números pseudo-aleatórios e protocolos de acordo de chaves e SSL. Uma vez que se trata de um treinamento para programadores, todo o conteúdo será exemplificado em Java e será dada ênfase à identificação de maus usos de criptografia. O minicurso tem o aspecto prático de que todos os programas serão manipulados no treinamento, não apenas e PPT. | ||
+ | |||
+ | '''Sobre o instrutor''': | ||
+ | Professor de graduação em tecnologia e segurança por 10 anos | ||
+ | Professor de pós-graduação em desenvolvimento seguro de software e criptografia há 5 anos. | ||
+ | Autor de diversos artigos científicos | ||
+ | Instrutor de diversos treinamentos para organizações privadas no Brasil e no exterior assim como para instituições educacionais. | ||
+ | |||
+ | |||
+ | ----------------------------------- | ||
+ | '''Treinamento 4 - OWASP Top 10 + Java EE''' | ||
+ | |||
+ | '''Data:''' 04 de Outubro de 2011 - 9h até 17h30min | ||
+ | |||
+ | '''Idioma:''' Português | ||
+ | |||
+ | '''Instrutor:''' Magno Logan | ||
+ | |||
+ | '''Resumo''': | ||
+ | The goal of this training is to give a better understanding about the top 10 risks that are more critical to web applications using the OWASP Top 10 v.2010 document, that describes them, their impacts and how to avoid them. We will go through all 10 risks, showing what they are with practical examples and detailed explanation. Participants will have the opportunity to practice the search and fixing of theses risks with a vulnerable web application called WebGoat, which is also an OWASP Project developed in Java EE. All the examples will be in Java, so previous knowledge of this programming language is a plus but not mandatory. | ||
+ | |||
+ | '''Sobre o Instrutor''': | ||
+ | Magno Logan é Líder e Fundador do Capítulo da OWASP na Paraíba. Pós-Graduando em Segurança da Informação pela Faculdade de Tecnologia de João Pessoa. Realizou um curso de 1 (um) ano em Forense Computacional em Nova York, EUA. Formado em Tecnologia em Sistemas para Internet pelo Instituto Federal de Educação, Ciência e Tecnologia da Paraíba. Trabalha atualmente como Analista de Sistemas da Politec, prestando serviços para a Secretaria de Estado da Receita da Paraíba. | ||
+ | |||
+ | |||
+ | '''Arquivos''': | ||
+ | |||
+ | [https://www.owasp.org/index.php/File:Magno_Logan_OWASP_Top_10_-_2010_for_JavaEE.pdf Magno_Logan_OWASP_Top_10_-_2010_for_JavaEE.pdf] | ||
+ | |||
+ | [https://www.owasp.org/index.php/File:Magno_Logan_AppSec_Latam_2011_-_OWASP_Top_10_%2B_JavaEE.pdf Magno_Logan_AppSec_Latam_2011_-_OWASP_Top_10_%2B_JavaEE.pdf] | ||
+ | |||
+ | |||
+ | |||
+ | --------------------------------- | ||
+ | '''Treinamento 5 - Protecting Java Web Applications against known (and unknown) vulnerabilities with the new Mod_Security for Java. - CANCELADO''' | ||
+ | |||
+ | '''Data:''' 04 de Outubro de 2011 - 9h até 17h30min | ||
+ | |||
+ | '''Idioma:''' Espanhol | ||
+ | |||
+ | '''Instrutor:''' Juan Carlos Calderon | ||
+ | |||
+ | |||
+ | ------------------------------------ | ||
+ | '''Treinamento 6 - Uso da OWASP ESAPI (Enterprise Security API) para prover segurança em aplicações Web''' | ||
+ | |||
+ | '''Data:''' 04 de Outubro de 2011 - 9h até 17h30min | ||
+ | |||
+ | '''Idioma:''' Português | ||
+ | |||
+ | '''Instrutor:''' Tarcizio Vieira Neto | ||
+ | |||
+ | '''Resumo''': | ||
+ | A evolução da tecnologia no desenvolvimento de aplicações WEB tem contribuído com o aumento significativo do uso dessa tecnologia para atender os mais diversificados propósitos. Porém, essa tecnologia está sujeita a diversas vulnerabilidades de segurança críticas, principalmente quando pesquisas recentes apontam que a maioria das vulnerabilidades estão presentes na própria aplicação. | ||
+ | A biblioteca ESAPI (Enterprise Security API), da OWASP, surge neste cenário como uma biblioteca de segurança open source disponível para diversas linguagens, como Java EE, PHP, .NET, ASP Clássico, Python, Ruby, entre outras. O minicurso aborda de modo prático as vulnerabilidades causadas por erros comuns no desenvolvimento de aplicações e os mecanismos de controle de segurança providos pela biblioteca ESAPI com o foco na tecnologia Java. Os princípios gerais aprendidos no curso podem ser aplicados no contexto das demais linguagens de programação. | ||
+ | |||
+ | |||
+ | '''Sobre o instrutor''': | ||
+ | Tarcizio Vieira Neto é graduado em Ciência da Computação pela Universidade Federal de Goiás (UFG), em Goiânia. Atualmente trabalha no SERPRO, desde novembro de 2009, como Analista de Desenvolvimento, na Coordenação Estratégica de Tecnologia CETEC, desenvolvendo trabalhos sobre o tema segurança no desenvolvimento de aplicações, envolvendo aspectos processuais e técnicos, como também participa da prospecção de ferramentas que dão suporte à segurança no desenvolvimento de aplicações Web. | ||
+ | Participou também como instrutor no treinamento de novos empregados e auxiliou na elaboração do material do curso em Ensino a Distância na universidade corporativa do SERPRO (UniSERPRO). | ||
+ | Participou da primeira versão da tradução do OWASP Secure Coding Principles Quick Reference Guide, para o português brasileiro e liderou o projeto de revisão da tradução do mesmo documento. | ||
+ | Possui especialização em gestão da segurança da informação pela Universidade de Brasília (UnB). | ||
+ | |||
+ | |||
+ | '''Arquivos''': | ||
+ | |||
+ | [https://docs.google.com/viewer?a=v&pid=explorer&chrome=true&srcid=0B4ecjMHaP5n0MDdjZTQyZTYtZmFlZC00YTUyLTgxNTEtZDgyNWMwNzE5Zjk5&hl=pt_BR TarcizioNeto_AppSecBR2011_utilizando_API_ESAPI_Tarcizio.pdf] | ||
==== 06 de Outubro ==== | ==== 06 de Outubro ==== | ||
− | == Agenda == | + | <center> |
+ | == '''Agenda 06 de Outubro''' == | ||
+ | |||
+ | |||
+ | {| width="80%" class="t" | ||
+ | |- | ||
+ | | width="14%" height="17" align="right" | 08:00 – 08:40 | ||
+ | | bgcolor="#8595c2" align="CENTER" | '''Credenciamento''' | ||
+ | |- | ||
+ | | width="14%" height="49" align="right" | 08:40 – 09:10 | ||
+ | | bgcolor="#b9c2dc" align="CENTER" | '''Tom Brennan'''<br> OWASP "Where we are.. Where we are going" - [https://www.owasp.org/images/e/e7/AppSecLATAM11-Keynote.pdf Slides] | ||
+ | |- | ||
+ | | width="14%" height="49" align="right" | 09:10 – 10:00 | ||
+ | | bgcolor="#eeeeee" align="CENTER" | '''Bryan Sullivan'''<br> You Are Not Amy Winehouse: A New Plan for Reaching the Developer Community | ||
+ | |- | ||
+ | | width="14%" height="49" align="right" | 10:00 – 10:50 | ||
+ | | bgcolor="#b9c2dc" align="CENTER" | '''Rodrigo Montoro'''<br> HTTP Header Hunter - Looking for malicious behavior into your http header traffic | ||
+ | |- | ||
+ | | width="14%" height="17" align="right" | 10:50 – 11:10 | ||
+ | | bgcolor="#d98b66" align="CENTER" | '''Coffee-Break oferecido pela Dell''' | ||
+ | |- | ||
+ | | width="14%" height="49" align="right" | 11:10 – 12:00 | ||
+ | | bgcolor="#b9c2dc" align="CENTER" | '''Alexandre Braga'''<br> Como não escolher a sua senha! Será a senha gráfica o futuro das senhas? - [https://www.owasp.org/images/7/7d/AlexandreBraga_AppSec2011_senhas_graficas_v4.pdf Slides] | ||
+ | |- | ||
+ | | width="14%" height="49" align="right" | 12:00 – 12:50 | ||
+ | | bgcolor="#eeeeee" align="CENTER" | '''Maximiliano Soler'''<br> Mantra: The Security Framework - [https://www.owasp.org/images/b/b5/MaximilianoSoler_OWASP-Mantra_AppSec_Latam_2011.pps.zip Slides] | ||
+ | |- | ||
+ | | width="14%" height="17" align="right" | 12:50 – 14:20 | ||
+ | | bgcolor="#d98b66" align="CENTER" | '''Almoço''' | ||
+ | |- | ||
+ | | width="14%" height="49" align="right" | 14:20 – 15:10 | ||
+ | | bgcolor="#b9c2dc" align="CENTER" | '''Chris Evans'''<br> Dosh4vulns -- Google's vulnerability reward programs | ||
+ | |- | ||
+ | | width="14%" height="49" align="right" | 15:10 – 16:00 | ||
+ | | bgcolor="#eeeeee" align="CENTER" | '''Magno Logan'''<br> Segurança em Sites de Compras Coletivas: Economizando dor de cabeça! - [https://www.owasp.org/images/a/ad/Magno_Logan_AppSec_Latam_2011_-_Seguran%C3%A7a_em_Sites_de_Compras_Coletivas.pdf Slides] | ||
+ | |- | ||
+ | | width="14%" height="17" align="right" | 16:00 – 16:20 | ||
+ | | bgcolor="#d98b66" align="CENTER" | '''Coffee-Break''' | ||
+ | |- | ||
+ | | width="14%" height="49" align="right" | 16:20 – 17:10 | ||
+ | | bgcolor="#b9c2dc" align="CENTER" | '''Tarcizio Vieira Neto'''<br> Modelo de processo para desenvolvimento de aplicações seguras - [https://www.owasp.org/images/f/f7/TarcizioNeto_Apresentacao_PROSEG_AppSecLatam2011.pdf Slides] | ||
+ | |- | ||
+ | | width="14%" height="49" align="right" | 17:10 – 18:00 | ||
+ | | bgcolor="#eeeeee" align="CENTER" | '''Rob Rachwald and Noa Bar-Yosef'''<br> Cyber Vigilantes: How Security Researchers Are Hurting the Business of Hacking - [https://www.owasp.org/images/a/a7/RobRachwald_Cyber_Vig_Brazil.pdf Slides] | ||
+ | |- | ||
+ | | width="14%" height="17" align="right" | 18:00 – 18:30 | ||
+ | | bgcolor="#cccccc" align="CENTER" | '''Encerramento do primeiro dia''' | ||
+ | |} | ||
+ | </center> | ||
+ | <br> | ||
+ | |||
− | |||
==== 07 de Outubro ==== | ==== 07 de Outubro ==== | ||
− | == Agenda | + | <center> |
+ | == '''Agenda 07 de Outubro''' == | ||
+ | |||
+ | |||
+ | {| width="80%" class="t" | ||
+ | |- | ||
+ | | width="14%" height="17" align="right" | 08:00 – 08:40 | ||
+ | | bgcolor="#8595c2" align="CENTER" | '''Credenciamento''' | ||
+ | |- | ||
+ | | width="14%" height="49" align="right" | 08:40 – 09:10 | ||
+ | | bgcolor="#b9c2dc" align="CENTER" | '''Lucas Ferreira'''<br> Segurança na Web: Uma janela de oportunidades - [https://www.owasp.org/images/a/aa/LucasFerreira_Seguranca_na_web.pdf Slides] | ||
+ | |- | ||
+ | | width="14%" height="49" align="right" | 09:10 – 10:00 | ||
+ | | bgcolor="#eeeeee" align="CENTER" | '''Michael Craigue'''<br> Security Development Lifecycle: A History in 3 Acts - [https://www.owasp.org/images/e/e6/MichaelCraigue_2011_10_04_OWASP_LatAm_v7.pptx Slides] | ||
+ | |- | ||
+ | | width="14%" height="49" align="right" | 10:00 – 10:50 | ||
+ | | bgcolor="#b9c2dc" align="CENTER" | '''Tom Brennan'''<br> Global Security Report / Caipirinha Security Recipe - [https://www.owasp.org/images/4/4e/OWASP-APPSECLATAM-GSR-v2.pdf Slides] | ||
+ | |- | ||
+ | | width="14%" height="17" align="right" | 10:50 – 11:10 | ||
+ | | bgcolor="#d98b66" align="CENTER" | '''Coffee-Break oferecido pela Software Express''' | ||
+ | |- | ||
+ | | width="14%" height="49" align="right" | 11:10 – 12:00 | ||
+ | | bgcolor="#b9c2dc" align="CENTER" | '''Mauro Flores'''<br> Proyectos OWASP para cumplir con PCI - [https://www.owasp.org/images/d/dc/MauroFlores_OWASP_PCI_Appsec2011pub.pdf Slides] | ||
+ | |- | ||
+ | | width="14%" height="49" align="right" | 12:00 – 12:50 | ||
+ | | bgcolor="#eeeeee" align="CENTER" | '''Klaubert Silveira'''<br> WAF:FLE, ModSecurity como você nunca viu - [https://www.owasp.org/images/b/bc/KlaubertSilveira_waf-fle.org.pdf Slides] | ||
+ | |- | ||
+ | | width="14%" height="17" align="right" | 12:50 – 14:20 | ||
+ | | bgcolor="#d98b66" align="CENTER" | '''Almoço''' | ||
+ | |- | ||
+ | | width="14%" height="49" align="right" | 14:20 – 15:10 | ||
+ | | bgcolor="#b9c2dc" align="CENTER" | '''Dinis Cruz'''<br> Making Security Invisible by Becoming the Developer's Best Friends - [https://www.owasp.org/images/2/2b/Dinis_Cruz_-_Making_Security_Invisible_by_Becoming_the_Developer%27s_Best_Friends_v2.pdf.bz2.pdf Slides] | ||
+ | |- | ||
+ | | width="14%" height="49" align="right" | 15:10 – 16:00 | ||
+ | | bgcolor="#eeeeee" align="CENTER" | '''Wagner Elias'''<br> Automatizando análise passiva de aplicações web - [https://www.owasp.org/images/0/07/WagnerElias_OWASP_AppSec_POA.ppt Slides] | ||
+ | |- | ||
+ | | width="14%" height="17" align="right" | 16:00 – 16:20 | ||
+ | | bgcolor="#d98b66" align="CENTER" | '''Coffee-Break''' | ||
+ | |- | ||
+ | | width="14%" height="49" align="right" | 16:20 – 17:10 | ||
+ | | bgcolor="#b9c2dc" align="CENTER" | '''Rafael Brinhosa'''<br> Segurança de Aplicações, para sua organização ainda não é prioridade? - [https://www.owasp.org/images/b/b8/RafaelBrinhosa_Seguran%C3%A7a_de_Aplica%C3%A7%C3%B5es%2C_para_sua_organiza%C3%A7%C3%A3o_ainda_n%C3%A3o_%C3%A9_prioridade_OWASP_AppSec_Latam_Rafael_Brinhosa.zip Slides] | ||
+ | |- | ||
+ | | width="14%" height="49" align="right" | 17:10 – 18:00 | ||
+ | | bgcolor="#eeeeee" align="CENTER" | '''Breno Silva and Ryan Barnett'''<br> An Innovative Obfuscated Code Analysis Algorithm - [https://www.owasp.org/images/f/f1/AppSec_ObjF_algo.pdf Slides] | ||
+ | |- | ||
+ | | width="14%" height="17" align="right" | 18:00 – 18:30 | ||
+ | | bgcolor="#cccccc" align="CENTER" | '''Encerramento''' | ||
+ | |} | ||
+ | </center> | ||
+ | <br> | ||
+ | |||
+ | ==== Local ==== | ||
− | + | A conferência será em Porto Alegre, Rio Grande do Sul, no auditório do prédio 50 da [http://www.pucrs.br PUCRS]. | |
+ | <br> | ||
+ | Veja a localização no [http://maps.google.com.br/maps?oe=utf-8&rls=org.mozilla:en-US:official&client=firefox-a&um=1&hl=en&biw=1440&bih=760&ie=UTF-8&q=PUCRS&fb=1&gl=br&hq=PUCRS&hnear=0x9519784e88e1007d:0xc7011777424f60bd,Porto+Alegre+-+Rio+Grande+do+Sul&cid=0,0,13248223140037344003&ei=y1JVTq7yBaOtsQLS6Im3Bw&sa=X&oi=local_result&ct=image&ved=0CAQQ_BI Google Maps] | ||
+ | <br> | ||
+ | Guia de Estacionamento: http://www3.pucrs.br/portal/page/portal/pucrs/Capa/Noticias?p_itemid=5763486 | ||
+ | <br> | ||
+ | [[Image:Mapapuc.jpg|link=https://maps.google.com/maps?q=pucrs+Porto+Alegre+pr%C3%A9dio+50&hl=en&ie=UTF8&ll=-30.059818,-51.175185&spn=0.007717,0.009645&sll=-30.059251,-51.172364&sspn=0.007717,0.009645&vpsrc=6&hq=pucrs+Porto+Alegre+pr%C3%A9dio+50&t=h&z=17]] | ||
+ | <br><br> | ||
+ | [[Image:Predio501.jpg]]<br> | ||
+ | [[Image:Predio503.jpg]]<br> | ||
+ | [[Image:Predio502.jpg]]<br> | ||
+ | <br> | ||
==== Inscrições ==== | ==== Inscrições ==== | ||
− | + | O formulário de inscrição está disponível em http://registration2011.appseclatam.org/ | |
+ | |||
+ | == Valores == | ||
+ | |||
+ | '''Apenas a conferência:''' | ||
+ | |||
+ | * Antes de 31 de Agosto: 250.00 BRL | ||
+ | * Antes de 30 de Setembro: 350.00 BRL | ||
+ | * Depois de 1 de Outubro: 450.00 BRL | ||
+ | |||
+ | '''Treinamentos''' | ||
+ | |||
+ | * Um (1) dia: 450.00 BRL | ||
+ | * Dois (2) dias: 900.00 BRL | ||
+ | |||
+ | ''Por favor verifique o formulário de inscrições para informações sobre valores de pacotes de inscrição'' | ||
− | + | '''Descontos''' | |
− | + | * Membro do OWASP: R$ 100,00 (Nota: Este desconto é maior do que a taxa anual de USD 50.00. Confira [http://www.google.com.br/#q=50+usd+in+brl&fp=1 aqui] | |
+ | * Estudantes: R$ 100.00 (Nota: Será necessário apresentar comprovante de matrícula). | ||
+ | * Descontos especiais para grupos: entre em contato conosco pelo email appsec2011@appseclatam.org | ||
==== Informações ==== | ==== Informações ==== | ||
Line 180: | Line 483: | ||
[https://secure.wikimedia.org/wikipedia/pt/wiki/Porto_Alegre https://secure.wikimedia.org/wikipedia/pt/wiki/Porto_Alegre] | [https://secure.wikimedia.org/wikipedia/pt/wiki/Porto_Alegre https://secure.wikimedia.org/wikipedia/pt/wiki/Porto_Alegre] | ||
+ | |||
+ | [http://www.clicrbs.com.br/zerohora/swf/especial_passeio_poa/index.html Um passeio pela capital] | ||
+ | |||
<br> | <br> | ||
Line 194: | Line 500: | ||
== Previsão do Tempo == | == Previsão do Tempo == | ||
+ | |||
+ | [[Image:Climatempo.png|link=http://www.climatempo.com.br/previsao-do-tempo/cidade/363/portoalegre-rs]] | ||
+ | <br> | ||
+ | Fonte: [http://www.climatempo.com.br/previsao-do-tempo/cidade/363/portoalegre-rs Climatempo] | ||
+ | <br> | ||
== Viagem == | == Viagem == | ||
Line 199: | Line 510: | ||
== Acomodações == | == Acomodações == | ||
− | '''NOVOTEL PORTO ALEGRE'''<br> | + | '''NOVOTEL PORTO ALEGRE''' (Hotel oficial do evento) <br> |
Av. Soledade, 575<br> | Av. Soledade, 575<br> | ||
Três Figueiras<br> | Três Figueiras<br> | ||
Fone: (51) 3327-9292<br> | Fone: (51) 3327-9292<br> | ||
+ | E-mail: [email protected] | ||
+ | Táxi Cootaero do aeroporto para o Novotel: R$30,00 (3358-2500) | ||
Single / Double<br> | Single / Double<br> | ||
Line 216: | Line 529: | ||
https://www.owasp.org/images/3/33/Novohotel.jpg | https://www.owasp.org/images/3/33/Novohotel.jpg | ||
+ | |||
+ | '''Haverá Van para traslado Novotel - PUC - Novotel''' | ||
+ | |||
+ | <br> | ||
+ | == Alimentação == | ||
+ | <br> | ||
+ | '''Restaurante Panorama Gastronômico'''<br> | ||
+ | 5% de desconto para os participantes do OWASP AppSecLatin America 2011<br> | ||
+ | Avenida Ipiranga, 6681 - prédio 41, 4º andar, PUC-RS<br> | ||
+ | Bairro: Jardim Botânico<br> | ||
+ | CEP: 90619900<br> | ||
+ | Telefone: 3339-2446<br> | ||
+ | Lugares: 650 lugares<br> | ||
+ | Horário: 11h15/14h (fecha dom.)<br> | ||
+ | [http://www.panoramagastronomico.com.br http://www.panoramagastronomico.com.br] | ||
+ | <br> | ||
==== Eventos Sociais ==== | ==== Eventos Sociais ==== | ||
− | + | == Terça-feira - 04 de outubro == | |
+ | Happy hour a partir das 19h, na Cachaçaria Água Doce | ||
+ | |||
+ | Avenida Carlos Gomes, 1581 - Petrópolis | ||
+ | Porto Alegre - RS, 90480-005, Brazil | ||
+ | (0xx)51 3338-8261 | ||
+ | http://www.hagah.com.br/rs/porto-alegre/local/23426,2,agua-doce-cachacaria.html | ||
+ | <br> | ||
+ | Recomendação alimentícia: Rodizio de Escondidínho no valor de 26.90 por pessoa.<br> | ||
+ | Bebida: Cachaça, uma bebida típica brasileira. | ||
+ | <br> | ||
+ | |||
+ | == Quarta-feira - 05 de outubro == | ||
+ | Jantar (a partir das 19:30h) no CTG 35 com apresentação de dança às 21h. | ||
+ | Site oficial: [http://www.35ctg.com.br http://www.35ctg.com.br] | ||
+ | <br> | ||
+ | |||
+ | == Quinta-feira - 06 de outubro == | ||
+ | Festa oficial do evento e PoaSec 14.0<br> | ||
+ | Local: Meat Club<br> | ||
+ | Endereço: Rua Castro Alves, 825 - Moinhos de Vento - Porto Alegre - RS - http://www.meatclub.com.br <br> | ||
+ | Horário: A partir das 22h<br> | ||
+ | '''Reserve seu ingresso antecipadamente com Leonardo Goldim, serão apenas 150 disponíveis''' | ||
+ | <br> | ||
+ | |||
+ | == Sexta-feira - 07 de outubro == | ||
+ | Happy hour após a conferência, 19:30h.<br> | ||
+ | Onde: Faro Dinning Room and Bar<br> | ||
+ | Endereço: Padre Chagas St, 32 | ||
+ | Moinhos de Vento, Porto Alegre / RS<br> | ||
+ | http://www.farobar.com.br | ||
+ | Drink: Free welcome drink | ||
+ | Mezzanino reservedo para OWASP AppSec Latam | ||
+ | |||
+ | <br> | ||
+ | |||
+ | == Sábado - 08 de outubro == | ||
+ | Passeio em Gramado e Canela durante o dia e ida à Oktoberfest em Santa Cruz à noite com direito a guia Bilingue.<br> | ||
+ | - Sugestões de Passeios em Gramado e Canela: Lago Negro, Caracol, Chocolates Floribal, Catedral de Pedra, parada na Rua Coberta, ainda é possível conhecer também o Alpen Park se gostarem de alguma aventura. <br> | ||
+ | - Valor estimado de 150 reais, incluindo o passeio, café-colonial em Gramado e entrada no Oktoberfest.<br> | ||
+ | '''OBS: Interessados reservar com urgência porque só haverá 42 lugares.''' <br> | ||
+ | http://pipocamoderna.com.br/wp-content/uploads/2011/08/07-08-2011-FestivalDeCinemaDeGramado0302-600x397.jpg | ||
+ | http://trialx.com/curetalk/wp-content/blogs.dir/7/files/2011/05/cities/Gramado-2.jpg | ||
+ | http://www.afhic.org/encontro2010-p_arquivos/Canela-cascata.jpg | ||
+ | http://www.turismo.rs.gov.br/multimidia/max1223472660Portico_da_Oktoberfest___Cedito__System_Lab.jpg | ||
+ | <br> | ||
+ | |||
+ | == Domingo - 09 de outubro == | ||
+ | '''Sugestões:'''<br><br> | ||
+ | Pela manhã: '''City Tour''' (R$ 15 reais)<br> | ||
+ | [http://www2.portoalegre.rs.gov.br/turismo/default.php?p_secao=285 http://www2.portoalegre.rs.gov.br/turismo/default.php?p_secao=285] | ||
+ | <br> | ||
+ | <br> | ||
+ | Almoço: '''Restaurante Costela no Rolete'''<br> | ||
+ | Rua Marcílio Dias, 965<br> | ||
+ | Bairro: Menino Deus<br> | ||
+ | CEP: 90130001<br> | ||
+ | Telefone: 3235-1896 e 3061-2155<br> | ||
+ | Lugares: 96 lugares<br> | ||
+ | Horário: 11h30/15h e 18h30/0h (sáb. e dom. só almoço; fecha seg.)<br> | ||
+ | R$ 26,00 por pessoa<br> | ||
+ | Especialidade: Costela 12hs<br> | ||
+ | [http://vejabrasil.abril.com.br/porto-alegre/restaurantes/costela-no-rolete-29395 http://vejabrasil.abril.com.br/porto-alegre/restaurantes/costela-no-rolete-29395] | ||
+ | <br> | ||
+ | <br> | ||
+ | Pela tarde: | ||
+ | '''Futebol: Jogo do Inter vs Vasco'''<br> | ||
+ | 16 hs, Estádio Beira-Rio<br> | ||
+ | Partida válida pelo campeonato brasileiro de futebol<br> | ||
+ | http://www.cdn2.180graus.com/imagem_ca8b12eb8c.jpg | ||
==== Patrocínios ==== | ==== Patrocínios ==== | ||
Line 240: | Line 638: | ||
<br> | <br> | ||
− | |||
− | |||
== Patrocínio Ouro == | == Patrocínio Ouro == | ||
<br> | <br> | ||
<center> | <center> | ||
− | [[Image:IT2S.png|link=http://www.it2s.com.br]] | + | [[Image:Logoglobo.png|link=http://www.globo.com]] [[Image:IT2S.png|link=http://www.it2s.com.br]] [[Image:LogoSymantec.png|link=http://www.symantec.com]] [[Image:trustwaveappseclatam.jpg|link=https://www.trustwave.com]] |
− | [[Image:trustwaveappseclatam.jpg|link=https://www.trustwave.com]] | ||
</center> | </center> | ||
<br> | <br> | ||
Line 254: | Line 649: | ||
<br> | <br> | ||
<center> | <center> | ||
− | [[Image:Adobe_logo5.png|link=http://www.adobe.com]] | + | [[Image:Adobe_logo5.png|link=http://www.adobe.com]] |
+ | [[Image:PUCRS2.jpg|link=http://www.pucrs.br]] | ||
</center> | </center> | ||
<br> | <br> | ||
Line 261: | Line 657: | ||
<br> | <br> | ||
<center> | <center> | ||
− | [[Image:LogotipoConvisoCor.png| | + | [[Image:LogotipoConvisoCor.png|200px|link=http://www.conviso.com.br]] [[Image:LgClavis.jpg|link=http://www.clavis.com.br]] [[Image:Logosecplusp.png|link=http://www.secplus.com.br]] |
</center> | </center> | ||
+ | <br> | ||
+ | |||
+ | == Tradução Simultânea == | ||
+ | <br> | ||
+ | <center> | ||
+ | [[Image:Traduzca.png|link=http://http://www.traduzca.com]] | ||
+ | </center> | ||
+ | <br> | ||
+ | |||
+ | == Patrocínio Coffee Break == | ||
+ | <center> | ||
+ | [[Image:LogoDell.png|link=http://www.dell.com.br]] [[Image:Logosoftwareexpress.png|link=http://www.softwareexpress.com.br]] | ||
+ | </center> | ||
+ | <br> | ||
+ | |||
+ | == Patrocínio Almoço dos Palestrantes == | ||
+ | <center> | ||
+ | [[Image:Logodefenda2.png|link=http://www.defenda.com.br]] | ||
+ | </center> | ||
+ | <br> | ||
+ | |||
+ | == Apoio Institucional == | ||
+ | <center> | ||
+ | [[Image:Csa_br.jpg|200px|link=http://br.cloudsecurityalliance.org]] [[Image:Sucesurs.png|link=http://www.rs.sucesu.org.br]] | ||
+ | </center> | ||
<br> | <br> | ||
Line 272: | Line 693: | ||
==== Organizadores ==== | ==== Organizadores ==== | ||
− | + | <br><center> | |
− | [http:// | + | [[Image:Orgappseclatam2011.png|link=http://www.poasec.org]] |
+ | <br></center> | ||
+ | '''Da esquerda para a direita:'''<br> | ||
+ | '''De pé:''' [http://www.owasp.org/index.php/User:Jeronimo_Zucco Jerônimo Zucco], [http://www.owasp.org/index.php/User:Gustavo_Barbato L. Gustavo C. Barbato], [mailto:[email protected] Alexandre Balestrin Correa], [http://cassiogoldschmidt.com/ Cassio Goldschmidt], [http://www.appseclatam.org Mauricio Pegoraro], [http://www.appseclatam.org Gustavo Simon], [mailto:[email protected] Sarah Baso], [http://www.appseclatam.org Luiz Gava]<br> | ||
+ | |||
+ | '''Agachados:''' [http://www.owasp.org/index.php/User:Sapao Lucas C. Ferreira], [mailto:[email protected] Luciano Madeira], [http://www.appseclatam.org Adriene Barbato], [http://www.owasp.org/index.php/User:Rafael_Dreher Rafael Dreher], [mailto:[email protected] Carolina Nogueira], [http://www.appseclatam.org Maximiliano Soler] | ||
+ | |||
+ | ==== Chapter Leader Workshop ==== | ||
+ | |||
+ | [https://docs.google.com/document/d/1875PxrASC37IxgclLuK7cE9nfOu4D98p5GwSeYHSgas/edit?hl=en_US Ata de reunião da América Latina Capítulos Oficina] | ||
+ | |||
+ | =='''What is the Chapter Leader Workshop?''' == | ||
+ | On '''Wednesday, October 5,2011 at 13:30h-16:30h''' the Global Chapter Committee is organizing a chapter leader workshop for all the chapter leaders that attend the conference. ''Please note that this Workshop will take place on the day before the Conference starts.'' | ||
+ | |||
+ | |||
+ | '''Items that will be discussed are:''' | ||
+ | * How to improve the current Chapter Leader Handbook? | ||
+ | * How to start and support new chapters within Latin America? | ||
+ | * How to support inactive chapters within Latin America? | ||
+ | * What Governance model is required for OWASP chapters? | ||
+ | * How can the Global Chapters Committee facilitate the Latin American chapters? | ||
+ | * ... | ||
+ | |||
+ | |||
+ | Additionally we hope to make time and space available to do hands-on work revising the [[Chapter Leader Handbook]], details TBA. | ||
+ | |||
+ | |||
+ | |||
+ | == '''Funding to Attend the Workshop''' == | ||
+ | |||
+ | If you need financial assistance to attend the Chapter Leader Workshop at AppSec Latin America, please submit a request to [mailto:[email protected] Tin Zaw] and [mailto:[email protected] Sarah Baso] by '''August 22, 2011'''. | ||
+ | |||
+ | |||
+ | Funding for your attendance to the workshop should be worked out in the following order. | ||
+ | |||
+ | # Ask your employer to fund your trip to AppSec Latin America conference. | ||
+ | # Utilize your chapter funds. | ||
+ | # Ask the chapter committee for funding assistance. | ||
+ | |||
+ | |||
+ | While we wish we could fund every chapter leader, due to the limited amount of budget allocated for this event, we may not be able to fund 100% to all the requests. After August 22, we will make funding decision in a fair and transparent manner. When you apply for funding, please highlight your past contributions to OWASP and your future plans for the local chapter and OWASP. | ||
+ | |||
+ | |||
+ | == '''RSVP and Details''' == | ||
+ | |||
+ | To RSVP and view more details about the Workshop, go to the '''[[AppSecLatam2011 chapters workshop agenda]]'''. | ||
+ | |||
+ | |||
+ | == '''Local''' == | ||
+ | |||
+ | Sala 208, Prédio 50 da PUC-RS. | ||
+ | |||
+ | |||
+ | == '''Contact''' == | ||
+ | |||
+ | Email [mailto:[email protected] Sarah Baso] or [mailto:[email protected] Tin Zaw] for more details. | ||
+ | |||
+ | |||
+ | ==== Menções na Mídia ==== | ||
+ | |||
+ | - Jornal Correio do Povo do Rio Grande do Sul: | ||
+ | |||
+ | - Segurança virtual é meta de internautas http://www.correiodopovo.com.br/Impresso/?Ano=117&Numero=10&Caderno=0&Noticia=346308 | ||
+ | |||
+ | - [https://www.owasp.org/images/c/c4/AppSec_2011_-_CPovo.jpg Edição Impressa do Jornal Correio do Povo] | ||
+ | |||
+ | |||
+ | - TVCOM RS | ||
+ | |||
+ | - Entrevista com Diniz Cruz http://www.youtube.com/watch?v=2p2rTSH_pdk&feature=youtu.be | ||
+ | |||
+ | |||
+ | - Site Baguete: | ||
+ | |||
+ | - Porto Alegre sedia AppSec 2011 http://www.baguete.com.br/noticias/software/05/10/2011/porto-alegre-sedia-appsec-2011 | ||
+ | |||
+ | |||
+ | - Site www.seg.com.br: | ||
+ | |||
+ | - Brasil Irá Sediar Maior Encontro Global de Segurança de Aplicações Web <br>http://www.segs.com.br/index.php?option=com_content&view=article&id=49988:-brasil-ira-sediar-maior-encontro-global-de-seguranca-de-aplicacoes-web&catid=48:cat-info-ti&Itemid=329 | ||
+ | |||
+ | |||
+ | - Site www.elipse.com.br | ||
+ | - AppSec Brasil 2011, evento patrocinado pela Elipse Software, debateu as melhores práticas e soluções de defesa contra ataques na internet em Porto Alegre <br>http://www.elipse.com.br/noticia_int.aspx?id=923&idioma=1 | ||
+ | |||
+ | |||
+ | ==== Fotos ==== | ||
+ | |||
+ | - Fotos do evento: | ||
+ | |||
+ | - Oficiais: https://picasaweb.google.com/106748841860624678731 | ||
+ | |||
+ | - Twitter @appseclatam: http://twitpic.com/photos/appseclatam | ||
+ | |||
<headertabs /> | <headertabs /> | ||
[[Category:OWASP_AppSec_Conference]] | [[Category:OWASP_AppSec_Conference]] |
Latest revision as of 16:56, 20 October 2016
Apresentação
|
|
CFT e CFP
CFT
Leia a chamada de mini-cursos completa em https://www.owasp.org/index.php/AppSecLatam2011_(pt-br)/CFT.
Estamos realizando uma pesquisa sobre os temas para treinamentos. Você pode ajudar, respondendo a pesquisa no seguinte endereço:
http://www.surveymonkey.com/s/3RCZ9RR
CFP
Leia a chamada de trabalhos para apresentações completa em https://www.owasp.org/index.php/AppSecLatam2011_(pt-br)/CFP.
Comitê de Programa
- Leandro Gomes
- Leonardo Buonsanti
- Leonardo Lemes
- Luiz Eduardo
- Luiz Otávio Duarte
Keynotes
Keynotes
Bryan Sullivan
|
|
---|---|
Bryan Sullivan is a Senior Security Researcher with Adobe Systems, where he focuses on cloud security issues. Prior to Adobe, he was a program manager on Microsoft's Security Development Lifecycle team, and a development manager at HP, where he helped to design HP's vulnerability scanning tools WebInspect and DevInspect.
Bryan has spoken at security industry conferences such as Black Hat, RSA Conference, BlueHat and TechEd on a diverse range of topics including NoSQL, RIA architecture, REST, cryptography, denial-of-service defense, URL rewriting, and applying secure development processes to Agile projects. He was the author of the MSDN Magazine column Security Briefs, and is the coauthor of the books Ajax Security (Addison-Wesley, 2007) and the upcoming Secure Web Applications, A Beginner's Guide (McGraw-Hill, 2011). Linkedin |
Michael Craigue
|
|
---|---|
Michael Craigue (CISSP/CSSLP) is Director of the Security Consulting group at Dell, with 14 team members in Brazil, India, Malaysia, and the US. He and his team have responsibility for consulting with all of Dell’s internal organizations, including IT, Product Group, Services, and Mergers and Acquisitions, with a particular focus on the Secure Software Development Lifecycle. He has taught Database Management and Business Intelligence / Knowledge Management at St. Edward’s University in their MBA / MS CIS programs. Prior to joining Dell’s information security team, he spent a decade building Web and database applications. He has a PhD from the University of Texas at Austin in Higher Education Administration / Finance. Linkedin |
Guest Speakers
Chris Evans
|
|
---|---|
Chris Evans - Troublemaker, Google Inc. Chris Evan is known for various work in the security community. Most notably, he is the author of vsftpd and a vulnerability researcher. Details of vsftpd are at http://vsftpd.beasts.org/. His work includes vulnerabilities in all the major browsers (Firefox, Safari, Internet Explorer, Opera, Chrome); the Linux and OpenBSD kernels; Sun's JDK; and lots of open source packages. He blogs about some of his work at http://scarybeastsecurity.blogspot.com. At Google, Chris currently leads security for Google Chrome. He has presented at various conferences (PacSec, HiTB Dubai, HiTB Malaysia, BlackHat Europe, HiTB Amsterdam, OWASP, etc.) and is on the HiTB and WOOT paper selection panels. Linkedin |
Dinis Cruz
|
|
---|---|
Dinis Cruz is a Security Consultant based in London (UK) and specialized in: ASP.NET/J2EE Application Security, Application Security audits and .NET Security Curriculum Development.
For the past couple years Dinis has focused on the field of Static Source Code Analysis and Dynamic Website Assessments (aka penetration testing), and is the main developer of the OWASP O2 Platform which is an Open Source project that is focused on 'Automating Security Consultants Knowledge/Workflows' and 'Allowing non-security experts to access and consume Security Knowledge'. Dinis is currently focused on making the O2 Platform the industry standard for consuming, instrumenting and data-sharing between: the multiple WebAppSec tools, the Security consultants and the final users (from management to developers). Past industry experience include: running a small Software/Consultancy business, acting as CTO for a Portuguese University, being part of a Security Assessment team (Pentesting and Source Code Assessment) for a global Bank (ABN AMRO), taking the role of Directory of Advanced Technologies at Ounce Labs (acquired by IBM), performing Web Application security assessments on a large number of languages/technologies/frameworks and being a very active participant and enabler at OWASP. Dinis is an active trainer on .Net security, having written and delivered courses for Ounce Labs, IOActive, Foundstone, Intense School and KPMG (at multiple locations including BlackHat). Dinis has also delivered a number of presentations and keynote speeches at multiple OWASP and Security related conferences. At OWASP, Dinis is currently the leader of the OWASP O2 Platform project and was previous involved with: OWASP Projects Committee, OWASP Connections Committee and OWASP Foundation Board (were he was been a key driver on a number of major OWASP Initiatives: OWASP Summit 2011 OWASP Seasons of Code, OWASP Summit 2008, OWASP Community building and OWASP Chapter-lead Training). Linkedin |
04 à 05 de Outubro (Treinamentos)
Agenda
Treinamento 1 - ModSecurity Training
Data: 05 de Outubro de 2011 - 9h até 17h30min
Idioma: Português
Instrutor: Breno Silva
Requisitos: Notebook/desktop com VMware/VMplayer instalado, pois será utilizada uma imagem de máquina virtual disponibilizada pelo instrutor.
Resumo: This is a Hands-On traning about ModSecurity (WAF). People in this class will learn the main topics of ModSecurity, including installation, modes of deployment, configuration, rule customization and logging.
1. O que é ModSecurity?
* Como instalar * Arquiteturas * Exercicio 1
2. Configurando ModSecurity
* Principais diretivas de configuração * Core Rule Set (CRS) * Exercicio 1 * Exercicio 2
3. Customizando regras
* Sintaxe * Fases * Principais variáveis * Principais operadores * Principais ações * Funções de transformação * Exercicio 1 * Exercicio 2 * Exercicio 3 * Exercicio 4
4. Logging
* Entendendo as Log parts * Exercicio 1
Sobre o instrutor: Breno is a computer scientist with over 8 years experience in Information Technology, experienced with a wide range of software development techniques and languages, security systems and network technologies. Breno brings a deep mathematical education, supporting research and algorithm design for network anomaly detection mechanisms in high-speed networks. Breno is currently a security researcher for TrustWave Spiderlabs team, also the maintainer of ModSecurity, developement team member of Suricata IDS/IPS. He worked as a computer incidente response team member for the Telecom Industry in Latin America. Breno resides in Brasília, Brazil.
Arquivos:
Treinamento 2 - Introduction to Web Application Security
Data: 05 de Outubro de 2011 - 9h até 17h30min
Idioma: Português
Instrutor: Wagner Elias
Requisitos: Notebook/desktop com VMware/VMplayer instalado, pois será utilizada uma imagem de máquina virtual disponibilizada pelo instrutor.
Resumo:
This training will help you will gain skills on how to assess applications from a hacker's point of view, understand application security vulnerabilities and learn how to close these security holes in your Java or .Net applications so they are never exploited by a hacker. This intensive one day course focuses on the most common web application security problems, including aspects of both the OWASP Top Ten (2010) and the MITRE Top 25.
Hands on
The students will participate in a number of hands-on security testing exercises where they attack a live web application (i.e., WebGoat) that has been seeded with common web application vulnerabilities and then use proxy tools (i.e., Webscarab) to complete the exercises.
Sobre o Instrutor:
Wagner Elias tem ampla experiência na condução de projetos em IT Security com projetos desenvolvidos em empresas dos mais diversos segmentos. É fundador do capítulo brasileiro da OWASP (Open Web Application Security Project); ocupou o cargo de diretor de conteúdo na gestão 2006-2008 e de eventos da gestão 2008-2010 do capítulo brasileiro da ISSA (Information System Security Association). É co-fundador e sócio da Conviso Application Security, onde atua como CTO (Chief Technical Officer), responsável pela gestão de pesquisa e desenvolvimento de projetos de consultoria em segurança de aplicações.
Treinamento 3 - Introdução à criptografia ilustrada em Java para programadores web
Data: 05 de Outubro de 2011 - 9h até 17h30min
Idioma: Português
Instrutor: Alexandre Melo Braga
Resumo: A criptografia é a única tecnologia capaz de proteger dados em trânsito. O mimicurso terá o seguinte conteúdo geral: criptografia simétrica, criptografia assimétrica, modos de operação de cifras de bloco, funções de hash, funções MAC, geradores números pseudo-aleatórios e protocolos de acordo de chaves e SSL. Uma vez que se trata de um treinamento para programadores, todo o conteúdo será exemplificado em Java e será dada ênfase à identificação de maus usos de criptografia. O minicurso tem o aspecto prático de que todos os programas serão manipulados no treinamento, não apenas e PPT.
Sobre o instrutor: Professor de graduação em tecnologia e segurança por 10 anos Professor de pós-graduação em desenvolvimento seguro de software e criptografia há 5 anos. Autor de diversos artigos científicos Instrutor de diversos treinamentos para organizações privadas no Brasil e no exterior assim como para instituições educacionais.
Treinamento 4 - OWASP Top 10 + Java EE
Data: 04 de Outubro de 2011 - 9h até 17h30min
Idioma: Português
Instrutor: Magno Logan
Resumo: The goal of this training is to give a better understanding about the top 10 risks that are more critical to web applications using the OWASP Top 10 v.2010 document, that describes them, their impacts and how to avoid them. We will go through all 10 risks, showing what they are with practical examples and detailed explanation. Participants will have the opportunity to practice the search and fixing of theses risks with a vulnerable web application called WebGoat, which is also an OWASP Project developed in Java EE. All the examples will be in Java, so previous knowledge of this programming language is a plus but not mandatory.
Sobre o Instrutor: Magno Logan é Líder e Fundador do Capítulo da OWASP na Paraíba. Pós-Graduando em Segurança da Informação pela Faculdade de Tecnologia de João Pessoa. Realizou um curso de 1 (um) ano em Forense Computacional em Nova York, EUA. Formado em Tecnologia em Sistemas para Internet pelo Instituto Federal de Educação, Ciência e Tecnologia da Paraíba. Trabalha atualmente como Analista de Sistemas da Politec, prestando serviços para a Secretaria de Estado da Receita da Paraíba.
Arquivos:
Magno_Logan_OWASP_Top_10_-_2010_for_JavaEE.pdf
Magno_Logan_AppSec_Latam_2011_-_OWASP_Top_10_%2B_JavaEE.pdf
Treinamento 5 - Protecting Java Web Applications against known (and unknown) vulnerabilities with the new Mod_Security for Java. - CANCELADO
Data: 04 de Outubro de 2011 - 9h até 17h30min
Idioma: Espanhol
Instrutor: Juan Carlos Calderon
Treinamento 6 - Uso da OWASP ESAPI (Enterprise Security API) para prover segurança em aplicações Web
Data: 04 de Outubro de 2011 - 9h até 17h30min
Idioma: Português
Instrutor: Tarcizio Vieira Neto
Resumo: A evolução da tecnologia no desenvolvimento de aplicações WEB tem contribuído com o aumento significativo do uso dessa tecnologia para atender os mais diversificados propósitos. Porém, essa tecnologia está sujeita a diversas vulnerabilidades de segurança críticas, principalmente quando pesquisas recentes apontam que a maioria das vulnerabilidades estão presentes na própria aplicação. A biblioteca ESAPI (Enterprise Security API), da OWASP, surge neste cenário como uma biblioteca de segurança open source disponível para diversas linguagens, como Java EE, PHP, .NET, ASP Clássico, Python, Ruby, entre outras. O minicurso aborda de modo prático as vulnerabilidades causadas por erros comuns no desenvolvimento de aplicações e os mecanismos de controle de segurança providos pela biblioteca ESAPI com o foco na tecnologia Java. Os princípios gerais aprendidos no curso podem ser aplicados no contexto das demais linguagens de programação.
Sobre o instrutor:
Tarcizio Vieira Neto é graduado em Ciência da Computação pela Universidade Federal de Goiás (UFG), em Goiânia. Atualmente trabalha no SERPRO, desde novembro de 2009, como Analista de Desenvolvimento, na Coordenação Estratégica de Tecnologia CETEC, desenvolvendo trabalhos sobre o tema segurança no desenvolvimento de aplicações, envolvendo aspectos processuais e técnicos, como também participa da prospecção de ferramentas que dão suporte à segurança no desenvolvimento de aplicações Web.
Participou também como instrutor no treinamento de novos empregados e auxiliou na elaboração do material do curso em Ensino a Distância na universidade corporativa do SERPRO (UniSERPRO).
Participou da primeira versão da tradução do OWASP Secure Coding Principles Quick Reference Guide, para o português brasileiro e liderou o projeto de revisão da tradução do mesmo documento.
Possui especialização em gestão da segurança da informação pela Universidade de Brasília (UnB).
Arquivos:
TarcizioNeto_AppSecBR2011_utilizando_API_ESAPI_Tarcizio.pdf
06 de Outubro
Agenda 06 de Outubro
08:00 – 08:40 | Credenciamento |
08:40 – 09:10 | Tom Brennan OWASP "Where we are.. Where we are going" - Slides |
09:10 – 10:00 | Bryan Sullivan You Are Not Amy Winehouse: A New Plan for Reaching the Developer Community |
10:00 – 10:50 | Rodrigo Montoro HTTP Header Hunter - Looking for malicious behavior into your http header traffic |
10:50 – 11:10 | Coffee-Break oferecido pela Dell |
11:10 – 12:00 | Alexandre Braga Como não escolher a sua senha! Será a senha gráfica o futuro das senhas? - Slides |
12:00 – 12:50 | Maximiliano Soler Mantra: The Security Framework - Slides |
12:50 – 14:20 | Almoço |
14:20 – 15:10 | Chris Evans Dosh4vulns -- Google's vulnerability reward programs |
15:10 – 16:00 | Magno Logan Segurança em Sites de Compras Coletivas: Economizando dor de cabeça! - Slides |
16:00 – 16:20 | Coffee-Break |
16:20 – 17:10 | Tarcizio Vieira Neto Modelo de processo para desenvolvimento de aplicações seguras - Slides |
17:10 – 18:00 | Rob Rachwald and Noa Bar-Yosef Cyber Vigilantes: How Security Researchers Are Hurting the Business of Hacking - Slides |
18:00 – 18:30 | Encerramento do primeiro dia |
07 de Outubro
Agenda 07 de Outubro
08:00 – 08:40 | Credenciamento |
08:40 – 09:10 | Lucas Ferreira Segurança na Web: Uma janela de oportunidades - Slides |
09:10 – 10:00 | Michael Craigue Security Development Lifecycle: A History in 3 Acts - Slides |
10:00 – 10:50 | Tom Brennan Global Security Report / Caipirinha Security Recipe - Slides |
10:50 – 11:10 | Coffee-Break oferecido pela Software Express |
11:10 – 12:00 | Mauro Flores Proyectos OWASP para cumplir con PCI - Slides |
12:00 – 12:50 | Klaubert Silveira WAF:FLE, ModSecurity como você nunca viu - Slides |
12:50 – 14:20 | Almoço |
14:20 – 15:10 | Dinis Cruz Making Security Invisible by Becoming the Developer's Best Friends - Slides |
15:10 – 16:00 | Wagner Elias Automatizando análise passiva de aplicações web - Slides |
16:00 – 16:20 | Coffee-Break |
16:20 – 17:10 | Rafael Brinhosa Segurança de Aplicações, para sua organização ainda não é prioridade? - Slides |
17:10 – 18:00 | Breno Silva and Ryan Barnett An Innovative Obfuscated Code Analysis Algorithm - Slides |
18:00 – 18:30 | Encerramento |
Local
A conferência será em Porto Alegre, Rio Grande do Sul, no auditório do prédio 50 da PUCRS.
Veja a localização no Google Maps
Guia de Estacionamento: http://www3.pucrs.br/portal/page/portal/pucrs/Capa/Noticias?p_itemid=5763486
Inscrições
O formulário de inscrição está disponível em http://registration2011.appseclatam.org/
Valores
Apenas a conferência:
- Antes de 31 de Agosto: 250.00 BRL
- Antes de 30 de Setembro: 350.00 BRL
- Depois de 1 de Outubro: 450.00 BRL
Treinamentos
- Um (1) dia: 450.00 BRL
- Dois (2) dias: 900.00 BRL
Por favor verifique o formulário de inscrições para informações sobre valores de pacotes de inscrição
Descontos
- Membro do OWASP: R$ 100,00 (Nota: Este desconto é maior do que a taxa anual de USD 50.00. Confira aqui
- Estudantes: R$ 100.00 (Nota: Será necessário apresentar comprovante de matrícula).
- Descontos especiais para grupos: entre em contato conosco pelo email [email protected]
Informações
Guia Turístico
Portão de entrada de turistas no Estado e a apenas 120 quilômetros da aprazível Serra Gaúcha, Porto Alegre é um movimentado pólo de serviços e de infraestrutura de qualidade reconhecidas, base de grandes empresas nacionais e internacionais e um dos principais destinos de eventos internacionais no Brasil.
Links úteis: http://www2.portoalegre.rs.gov.br/turismo
https://secure.wikimedia.org/wikipedia/pt/wiki/Porto_Alegre
Recente reportagem do programa americano 60 Minutes sobre o potencial de crescimento do Brasil:
Vídeo turístico sobre Porto Alegre:
Tomadas Elétricas
Referência: http://omegatek.blogspot.com/2010/05/novo-padrao-de-tomadas-brasileiras.html
Previsão do Tempo
Fonte: Climatempo
Viagem
Acomodações
NOVOTEL PORTO ALEGRE (Hotel oficial do evento)
Av. Soledade, 575
Três Figueiras
Fone: (51) 3327-9292
E-mail: [email protected]
Táxi Cootaero do aeroporto para o Novotel: R$30,00 (3358-2500)
Single / Double
R$243,00 / R$289,00
Café da manhã cortesia
CONDIÇÕES GERAIS
. Diárias expressas em reais (R$), por dia e por apartamento; . Diárias iniciam e terminam às 12 horas; . Taxa de Turismo (opcional) - R$2,50 por dia/apartamento; . Imposto Municipal: acrescer 5% ISS; . O acesso à internet nas áreas sociais e nos apartamentos é cortesia; . Estacionamento: R$16,00 por carro ao dia (com manobrista); . Terceira pessoa no apartamento: Mediante disponibilidade. Cobrada taxa diária de R$47,00 + 5% ISS e será acomodada em cama extra ou sofá cama; . Forma de Pagamento: Depósito antecipado ou pagamento direto; . Garantia de No Show: Todas as reservas deverão ter garantia de no show. Em caso de não comparecimento, poderá ser cobrado o período integral reservado; . Não aceitamos cheques; . Duas crianças de até 16 anos no Novotel e uma criança de até 12 anos no Mercure acompanhadas dos pais/responsáveis no mesmo apartamento serão cortesia.
Necessária apresentação de documentação de identificação no check-in; . Valores pagos não serão reembolsáveis ou dados como créditos para próximas hospedagens;
Haverá Van para traslado Novotel - PUC - Novotel
Alimentação
Restaurante Panorama Gastronômico
5% de desconto para os participantes do OWASP AppSecLatin America 2011
Avenida Ipiranga, 6681 - prédio 41, 4º andar, PUC-RS
Bairro: Jardim Botânico
CEP: 90619900
Telefone: 3339-2446
Lugares: 650 lugares
Horário: 11h15/14h (fecha dom.)
http://www.panoramagastronomico.com.br
Eventos Sociais
Terça-feira - 04 de outubro
Happy hour a partir das 19h, na Cachaçaria Água Doce
Avenida Carlos Gomes, 1581 - Petrópolis
Porto Alegre - RS, 90480-005, Brazil
(0xx)51 3338-8261
http://www.hagah.com.br/rs/porto-alegre/local/23426,2,agua-doce-cachacaria.html
Recomendação alimentícia: Rodizio de Escondidínho no valor de 26.90 por pessoa.
Bebida: Cachaça, uma bebida típica brasileira.
Quarta-feira - 05 de outubro
Jantar (a partir das 19:30h) no CTG 35 com apresentação de dança às 21h.
Site oficial: http://www.35ctg.com.br
Quinta-feira - 06 de outubro
Festa oficial do evento e PoaSec 14.0
Local: Meat Club
Endereço: Rua Castro Alves, 825 - Moinhos de Vento - Porto Alegre - RS - http://www.meatclub.com.br
Horário: A partir das 22h
Reserve seu ingresso antecipadamente com Leonardo Goldim, serão apenas 150 disponíveis
Sexta-feira - 07 de outubro
Happy hour após a conferência, 19:30h.
Onde: Faro Dinning Room and Bar
Endereço: Padre Chagas St, 32
Moinhos de Vento, Porto Alegre / RS
http://www.farobar.com.br
Drink: Free welcome drink
Mezzanino reservedo para OWASP AppSec Latam
Sábado - 08 de outubro
Passeio em Gramado e Canela durante o dia e ida à Oktoberfest em Santa Cruz à noite com direito a guia Bilingue.
- Sugestões de Passeios em Gramado e Canela: Lago Negro, Caracol, Chocolates Floribal, Catedral de Pedra, parada na Rua Coberta, ainda é possível conhecer também o Alpen Park se gostarem de alguma aventura.
- Valor estimado de 150 reais, incluindo o passeio, café-colonial em Gramado e entrada no Oktoberfest.
OBS: Interessados reservar com urgência porque só haverá 42 lugares.
Domingo - 09 de outubro
Sugestões:
Pela manhã: City Tour (R$ 15 reais)
http://www2.portoalegre.rs.gov.br/turismo/default.php?p_secao=285
Almoço: Restaurante Costela no Rolete
Rua Marcílio Dias, 965
Bairro: Menino Deus
CEP: 90130001
Telefone: 3235-1896 e 3061-2155
Lugares: 96 lugares
Horário: 11h30/15h e 18h30/0h (sáb. e dom. só almoço; fecha seg.)
R$ 26,00 por pessoa
Especialidade: Costela 12hs
http://vejabrasil.abril.com.br/porto-alegre/restaurantes/costela-no-rolete-29395
Pela tarde:
Futebol: Jogo do Inter vs Vasco
16 hs, Estádio Beira-Rio
Partida válida pelo campeonato brasileiro de futebol
Patrocínios
Estamos atualmente buscado patrocinadores para a edição 2011 da Global AppSec Latin América. Veja mais detalhes sobre as oportunidades de patrocínio.
Se estiver interessado em patrocinar o Global AppSec Latin América 2011, por favor entre em contato com a equipe organizadora da conferência pelo email [email protected].
Para mais detalhes sobre diferentes oportunidades de patrocínio, por favor verifique o documento abaixo:
OWASP AppSec 2011 Sponsorship Portuguese.pdf
Patrocínio Diamante
Patrocínio Ouro
Patrocínio Prata
Patrocinadores do kit da conferência
Tradução Simultânea
Patrocínio Coffee Break
Patrocínio Almoço dos Palestrantes
Apoio Institucional
Organização Local
Organizadores
Da esquerda para a direita:
De pé: Jerônimo Zucco, L. Gustavo C. Barbato, Alexandre Balestrin Correa, Cassio Goldschmidt, Mauricio Pegoraro, Gustavo Simon, Sarah Baso, Luiz Gava
Agachados: Lucas C. Ferreira, Luciano Madeira, Adriene Barbato, Rafael Dreher, Carolina Nogueira, Maximiliano Soler
Chapter Leader Workshop
Ata de reunião da América Latina Capítulos Oficina
What is the Chapter Leader Workshop?
On Wednesday, October 5,2011 at 13:30h-16:30h the Global Chapter Committee is organizing a chapter leader workshop for all the chapter leaders that attend the conference. Please note that this Workshop will take place on the day before the Conference starts.
Items that will be discussed are:
- How to improve the current Chapter Leader Handbook?
- How to start and support new chapters within Latin America?
- How to support inactive chapters within Latin America?
- What Governance model is required for OWASP chapters?
- How can the Global Chapters Committee facilitate the Latin American chapters?
- ...
Additionally we hope to make time and space available to do hands-on work revising the Chapter Leader Handbook, details TBA.
Funding to Attend the Workshop
If you need financial assistance to attend the Chapter Leader Workshop at AppSec Latin America, please submit a request to Tin Zaw and Sarah Baso by August 22, 2011.
Funding for your attendance to the workshop should be worked out in the following order.
- Ask your employer to fund your trip to AppSec Latin America conference.
- Utilize your chapter funds.
- Ask the chapter committee for funding assistance.
While we wish we could fund every chapter leader, due to the limited amount of budget allocated for this event, we may not be able to fund 100% to all the requests. After August 22, we will make funding decision in a fair and transparent manner. When you apply for funding, please highlight your past contributions to OWASP and your future plans for the local chapter and OWASP.
RSVP and Details
To RSVP and view more details about the Workshop, go to the AppSecLatam2011 chapters workshop agenda.
Local
Sala 208, Prédio 50 da PUC-RS.
Contact
Email Sarah Baso or Tin Zaw for more details.
Menções na Mídia
- Jornal Correio do Povo do Rio Grande do Sul:
- Segurança virtual é meta de internautas http://www.correiodopovo.com.br/Impresso/?Ano=117&Numero=10&Caderno=0&Noticia=346308
- Edição Impressa do Jornal Correio do Povo
- TVCOM RS
- Entrevista com Diniz Cruz http://www.youtube.com/watch?v=2p2rTSH_pdk&feature=youtu.be
- Site Baguete:
- Porto Alegre sedia AppSec 2011 http://www.baguete.com.br/noticias/software/05/10/2011/porto-alegre-sedia-appsec-2011
- Site www.seg.com.br:
- Brasil Irá Sediar Maior Encontro Global de Segurança de Aplicações Web
http://www.segs.com.br/index.php?option=com_content&view=article&id=49988:-brasil-ira-sediar-maior-encontro-global-de-seguranca-de-aplicacoes-web&catid=48:cat-info-ti&Itemid=329
- Site www.elipse.com.br
- AppSec Brasil 2011, evento patrocinado pela Elipse Software, debateu as melhores práticas e soluções de defesa contra ataques na internet em Porto Alegre
http://www.elipse.com.br/noticia_int.aspx?id=923&idioma=1
Fotos
- Fotos do evento:
- Oficiais: https://picasaweb.google.com/106748841860624678731
- Twitter @appseclatam: http://twitpic.com/photos/appseclatam