This site is the archived OWASP Foundation Wiki and is no longer accepting Account Requests.
To view the new OWASP Foundation website, please visit https://owasp.org

Difference between revisions of "AppSec Brasil 2009 (pt-br)"

From OWASP
Jump to: navigation, search
(Datas)
(Datas)
 
(66 intermediate revisions by 5 users not shown)
Line 1: Line 1:
=Conferência Internacional de Segurança de Aplicações (AppSec Brasil 2009)=
+
= Conferência Internacional de Segurança de Aplicações (AppSec Brasil 2009) =
  
A comunidade [http://www.ticontrole.gov.br Comunidade TI-Controle] e o Centro de Informática da [http://www.camara.gov.br Câmara dos Deputados] apresentam a '''Conferência Internacional de Segurança de Aplicações''', que será realizada com o apoio do OWASP ([http://www.owasp.org/index.php/About_OWASP Open Web Application Security Project]) em [http://en.wikipedia.org/wiki/Brasília Brasília], capital do Brasil. A conferência consistirá de dois dias de treinamentos, seguidos de dois dias de plenárias em trilha única.
+
A comunidade [http://www.ticontrole.gov.br Comunidade TI-Controle] e o Centro de Informática da [http://www.camara.gov.br Câmara dos Deputados] apresentam a '''Conferência Internacional de Segurança de Aplicações''', que será realizada com o apoio do OWASP ([http://www.owasp.org/index.php/About_OWASP Open Web Application Security Project]) em [http://en.wikipedia.org/wiki/Brasília Brasília], capital do Brasil. A conferência consistirá de dois dias de treinamentos, seguidos de dois dias de plenárias em trilha única.  
  
[[Image:Brasilia Panorama.jpg]]
+
[[Image:Brasilia Panorama.jpg]]  
  
==Datas==
+
== Datas ==
  
A Conferência ocorrerá do dia 27 ao 30 de outubro de 2009. Os dias 27 e 28 de outubro serão dedicados ao mini-cursos e os dias 29 e 30 terão as sessões plenárias.
+
A Conferência ocorrerá do dia 27 ao 30 de outubro de 2009. Os dias 27 e 28 de outubro serão dedicados ao mini-cursos e os dias 29 e 30 terão as sessões plenárias.  
  
 +
<br>
  
<center>'''<span style="color:#ff0000"> Aviso aos Autores de propostas de palestras e mini-cursos: </span>'''</center>
+
==== Promoção  ====
A seleção das propostas já foi encerrada. Os autores das propostas selecionadas foram avisados e têm um prazo para confirmar a participação no evento. As demais propostas estão em uma 'fila de espera'.
 
  
Caso alguma proposta não seja confirmada, chamaremos os demais autores na ordem da fila de espera. Notificaremos os autores que não forem escolhidos assim que a grade de palestras e mini-cursos for concluída.
+
Esta conferência é promovida pela Comunidade [http://www.ticontrole.gov.br TI-Controle] e organizada pelo Centro de Informática da [http://www.camara.gov.br/ Câmara dos Deputados].  
  
 +
A Conferência tem o apoio do OWASP, [[Brazilian|Capítulo Brasil]], como provedor de conteúdo (seleção de palestras e cursos e montagem da grade de horários).
  
==== Promoção====
+
A Conferência tem o apoio da [http://www.unb.br Universidade de Brasília (UnB)] [[Image:Unb.gif|60px]]
  
Esta conferência é promovida pela Comunidade [http://www.ticontrole.gov.br TI-Controle] e organizada pelo Centro de Informática da [http://www.camara.gov.br/ Câmara dos Deputados].
+
A Conferência tem o patrocínio de [http://www.conviso.com.br Conviso IT Security] [[Image:CorVersao BR Small.jpg|100px]] e [http://www.leadcomm.com.br LeadComm] [[Image:LeadComm Logo Screen.jpg|100px]]
  
A Conferência tem o apoio do OWASP, [[Brazilian | Capítulo Brasil]], como provedor de conteúdo (seleção de palestras e cursos e montagem da grade de horários).
+
==== Keynotes  ====
  
====Keynotes====
+
'''Gary McGraw'''  
'''Gary McGraw'''
 
  
CTO, [http://www.cigital.com Cigital]
+
CTO, [http://www.cigital.com Cigital]  
  
<br>
+
<br>  
  
[[Image:GaryMcGraw.JPG|left|60px]]
+
[[Image:GaryMcGraw.JPG|left|60px]]  
  
''Título:'' '''The Building Security In Maturity Model (BSIMM)'''
+
''Título:'' '''O Modelo de Maturidade Building Security In (BSIMM)'''  
  
''Biografia:''
+
''Biografia:'' Gary McGraw é o CTO da Cigital, Inc., uma empresa de segurança e qualidade de software com sede em Washington, Estados Unidos. Ele é reconhecido mundialmente como uma autoridade em segurança de software e é autor de oito importantes livros sobre este tópico, incluindo: "Java Security", "Building Secure Software", "Exploiting software", "Software Security" e "Exploiting Online Games". Ele é também editor da série de livros sobre segurança de software na editora Addison-Wesley. Dr. McGraw também escreveu mais de 100 artigos científicos, escreve uma coluna mensal para o site informIT e é frequentemente citado na mídia. Além de servir como consultor estratégico para importantes empresas e executivos de TI, Gary faz parte dos Conselhos Administrativos das empresas Fortify Software e Raven White. Ele recebeu um PhD duplo em Ciência Cognitiva e Ciência da Computação pela Universidade de Indiana, onde ele faz parte do Conselho Consultivo da Escola de Informática. Ele também produz o podcast "Silver Bullet" para a revista IEEE Security &amp; Privacy e produz o podcast Reality Check Security para o site CSO online.  
Gary McGraw é o CTO da Cigital, Inc., uma empresa de segurança e qualidade de software com sede em Washington, Estados Unidos. Ele é reconhecido mundialmente como uma autoridade em segurança de software e é autor de oito importantes livros sobre este tópico, incluindo: "Java Security", "Building Secure Software", "Exploiting software", "Software Security" e "Exploiting Online Games". Ele é também editor da série de livros sobre segurança de software na editora Addison-Wesley. Dr. McGraw também escreveu mais de 100 artigos científicos, escreve uma coluna mensal para o site informIT e é frequentemente citado na mídia. Além de servir como consultor estratégico para importantes empresas e executivos de TI, Gary faz parte dos Conselhos Administrativos das empresas Fortify Software e Raven White. Ele recebeu um PhD duplo em Ciência Cognitiva e Ciência da Computação pela Universidade de Indiana, onde ele faz parte do Conselho Consultivo da Escola de Informática. Ele também produz o podcast "Silver Bullet" para a revista IEEE Security & Privacy e produz o podcast Reality Check Security para o site CSO online.
 
  
 +
<br>
  
 +
'''Jason Li'''
  
'''Jason Li'''
+
[http://www.aspectsecurity.com Aspect Security]
  
[http://www.aspectsecurity.com Aspect Security]
+
''Título:'' '''Ágil e Seguro: É possível fazer os dois?'''
  
''Título:'' '''Agile and Secure: Can We Do Both?'''
+
Co-autor: '''Jerry Hoff''', Aspect Security
  
Co-autor: '''Jerry Hoff''', Aspect Security
+
''Biografias:'' Jason Li é engenheiro senior de segurança de aplicações na Aspect Security. Jason conduz revisões de arquiteturas de segurança, revisão de segurança em código de aplicações, testes de segurança e provê treinamentos de segurança em aplicações Web para diversas empresas do ramo de varejo, financeiro e governamentais. Ele também é ativamente envolvido na OWASP, apoiando do Comitê de Projetos Globais da OWASP e como co-autor do Projeto Antisamy da OWASP (versão Java). Jason obteve seu pós-mestrado em Ciências da Computação com concentração em Segurança da Informação pela Universidade Johns Hopkins. Ele obteve seu grau de Mestre em Ciências da Computação pela Universidade Cornell, onde obteve também sua graduação dupla, em Ciências da COmputação e Pesquisador de Operações.
  
''Biografias:''
+
Jerry Hoff é engenheiro senior de segurança de aplicações na Aspect Security. Jerry coordena e executa numerosas revisões de segurança em código de aplicações para clientes de diversas industrias. Jerry também fornece treinamentos para clientes e possui mais de 10 anos de experiência ensinando e desenvolvendo. Jerry também é envolvido com a OWASP e foi o líder do projeto AntiSamy .net. Ele possui mestrado em Ciências da Computação pela Universidade de Washington em St. Louis.  
Jason Li is a Senior Application Security Engineer at Aspect Security. Jason has led security architecture reviews, application security code reviews, penetration tests and provided web application security training services for a
 
variety of commercial, financial, and government customers. He is also actively involved in the Open Web Application Security Project (OWASP), serving on the OWASP Global Projects Committee and as a co-author of the OWASP AntiSamy Project (Java version). Jason earned his Post-Master's degree in Computer Science with a concentration in Information Assurance from Johns Hopkins University. He earned his Master's degree in Computer Science from Cornell University, where he also earned his Bachelor's degree, double majoring in Computer Science and Operations Research.
 
  
Jerry Hoff is a Senior Application Security Engineer at Aspect Security.  Jerry  has led and performed numerous application security code reviews for clients across multiple industries.  Jerry also provides training services for clients, and has over 10 years teaching and development experience.  Jerry is also involved in the Open Web Application Security Project (OWASP) and was the lead developer of AntiSamy.net project.  He has a master's degree in Computer Science from Washington University in St. Louis.
+
<br>
  
 +
'''Dinis Cruz'''
  
 +
OWASP Board
  
'''Dinis Cruz'''
+
''Título:'' '''A Definir'''  
  
OWASP Board
+
''Biografia:''
  
''Título:'' '''A Definir'''
+
A definir.
  
''Biografia:''
+
<br>
  
A definir.
+
'''Kuai Hinojosa'''
  
 +
OWASP
  
 +
''Título:'' '''Implementando Aplicações Web Seguras Usando Recursos do OWASP'''
  
'''Kuai Hinojosa'''
+
''Biografia:''  
  
OWASP
+
Kuai Hinojosa desenvolve e protege aplicações Web por mais de 12 anos. Anteriormente, ele trabalhou no setor bancário como administrador de segurança de base de dados para o quinto maior banco dos Estados Unidos, onde ele trabalhou em um pequeno time de desenvolvimento de aplicações para proteção dos ativos da empresa. Ele trabalha agora na Universidade de Nova Yorque como Especialista de Aplicações Web onde ele continua a empregar o desenvolvimento de aplicações Web e a experiência em segurança de aplicações para proteger os recursos da universidade. Em seu tempo livre, Kuai se voluntaria para catequisar sermões de segurança de aplicações and liderar o capítulo de Mineapolis da OWASP. Kuai é membro do Comitê Global de Edução da OWASP.
  
''Título:'' '''Deploying Secure Web Applications with OWASP Resources'''
+
<br>
  
''Biografia:''
+
==== Agenda ====
Kuai Hinojosa has been developing and securing web applications for
 
about 12 years. He previously worked in the banking industry as a
 
database security administrator for the 5th largest bank in the U.S.
 
where he worked in a small team developing applications that protected
 
company's assets. He now works for New York University as a Web Applications
 
Specialist where he continues to use web application development and
 
application security experience to protect university resources. In
 
his spare time Kuai volunteers his time preaching the application
 
security gospel and leading the Minneapolis OWASP chapter. Kuai is a
 
member of the OWASP (Open Web Application Security Project) Global
 
Education Committee.
 
 
 
====Agenda ====
 
 
 
<span style="color:red;font-style:italic;font-weight:bold;font-size: 120%;"><center>Esta agenda é preliminar e sujeita a mudanças</center></span>
 
 
 
'''Programa da Conferência - Dia 1 - 29 de outubro de 2009 '''
 
  
 +
'''Programa da Conferência - Dia 1 - 29 de outubro de 2009 '''
 
<center>
 
<center>
<table width="80%" class="t">
+
{| width="80%" class="t"
<tr>
+
|-
<td width="14%" class="tcell3" valign="center"><div align="right">08:30 - 09:00</div></td>
+
| width="14%" height="17" align="right" | 08:30 - 09:00  
<td colspan="2" bgcolor="#8595C2" class="tcell3"><center>
+
| bgcolor="#8595c2" align="CENTER" | '''Recepção'''
  <strong>   Recepção   </strong>
+
|-
</center></td>
+
| width="14%" height="17" align="right" | 09:00 - 10:00
</tr>
+
| bgcolor="#eeeeee" align="CENTER" | '''Abertura'''
<tr>
+
|-
 
+
| width="14%" height="49" align="right" | 10:00 - 10:30
<td class="tcell2" valign="center"><div align="right">09:00 - 09:30</div></td>
+
| bgcolor="#b9c2dc" align="CENTER" | '''Dinis Cruz<br>''' Apresentação do Projeto OWASP
<td colspan="2" bgcolor="#eeeeee" class="tcell"><div align="center"><b>Abertura</b></div></td>
+
|-
</tr>
+
| width="14%" height="32" align="right" | 10:30 - 12:30
<tr>
+
| bgcolor="#eeeeee" align="CENTER" | '''Gary McGraw (Cigital)<br>''' Modelo de Maturidade Building Security In (BSIMM)
<td class="tcell2" valign="center"><div align="right">09:30 - 10:00</div></td>
+
|-
<td colspan="2" bgcolor="#b9c2dc" class="tcell" align="center"><b>Dinis Cruz (OWASP)</b><br/>
+
| width="14%" height="17" align="right" | 12:30 - 14:00
  Apresentação do projeto OWASP</td>
+
| bgcolor="#d98b66" align="CENTER" | '''Almoço'''
</tr>
+
|-
<tr>
+
| width="14%" height="47" align="right" | 14:00 - 14:50
<td class="tcell2" valign="center"><div align="right">10:00 - 12:00</div></td>
+
| bgcolor="#b9c2dc" align="CENTER" | '''Dinis Cruz<br>''' Apanhado dos Projetos do OWASP
<td colspan="2" bgcolor="#eeeeee" class="tcell" align="center"><b>[http://www.owasp.org/index.php/AppSec_Brasil_2009_(pt-br)#tab=Keynotes Gary McGraw] (Cigital)</b><br/>
+
|-
The Building Security In Maturity Model (BSIMM)</td>
+
| width="14%" height="32" align="right" | 14:50 - 15:40
</tr>
+
| bgcolor="#eeeeee" align="CENTER" | '''Thomas Schreiber<br>''' As Camadas Lógica e Semântica da Segurança de Aplicações Web
<tr>
+
|-
<td class="tcell3" valign="center"><div align="right">12:00 - 13:30</div></td>
+
| width="14%" height="17" align="right" | 15:40 - 16:00
<td colspan="2" bgcolor="#D98B66" class="tcell3"><div align="center"><strong>Almoço</strong></div></td>
+
| bgcolor="#d98b66" align="CENTER" | '''Break'''
  </tr>
+
|-
<tr>
+
| width="14%" height="47" align="right" | 16:00 - 16:50
<td class="tcell2" valign="center"><div align="right">13:30 - 14:20</div></td>
+
| bgcolor="#b9c2dc" align="CENTER" | '''Brian Contos<br>''' O Uso de Web Application Firewalls (WAF) e Sistemas de Database Activity Monitoring (DAM) Para Melhorar a Segurança de Código
<td colspan="2" bgcolor="#EEEEEE" class="tcell" align="center"><b>Dinis Cruz (OWASP)</b><br/>
+
|-
  tba</td>
+
| width="14%" height="32" align="right" | 16:50 - 17:40
</tr>
+
| bgcolor="#eeeeee" align="CENTER" | '''Matt Tesauro<br>''' ROI: Otimize os Gastos com Segurança
<tr>
+
|-
<td class="tcell2" valign="center"><div align="right">14:20 - 15:10</div></td>
+
| width="14%" height="47" align="right" | 17:40 - 18:30
<td colspan="2" bgcolor="#B9C2DC" class="tcell" align="center"><b>tba</b><br/>
+
| bgcolor="#b9c2dc" align="CENTER" | '''Pravir Chandra <br>''' O Modelo de Maturidade “Software Assurance Maturity Model (SAMM)”
    tba</td>
+
|-
 
+
| width="14%" height="17" align="right" | 18:30 - 18:35
</tr>
+
| bgcolor="#cccccc" align="CENTER" | '''Encerramento do Primeiro Dia'''
<tr>
+
|}
 
+
</center>  
<tr>
+
<br>  
<td class="tcell3" valign="center"><div align="right">15:10 - 15:30</div></td>
 
<td colspan="2" bgcolor="#D98B66" class="tcell3"><div align="center"><strong>Intervalo</strong></div></td>
 
</tr>
 
<tr>
 
<td class="tcell2" valign="center"><div align="right">15:30 - 16:20</div></td>
 
<td colspan="2" bgcolor="#B9C2DC" class="tcell"><b>tba</b><br/>
 
  tba</td>
 
 
 
                       
 
</tr>
 
<tr>
 
<td class="tcell2" valign="center"><div align="right">16:20 - 17:10</div></td>
 
<td colspan="2" bgcolor="#EEEEEE" class="tcell"><b>tba</b><br/>
 
  tba</td>
 
                       
 
</tr>
 
<tr>
 
  <td class="tcell2" valign="center"><div align="right">17:10 - 18:00</div></td>
 
  <td colspan="2" bgcolor="#B9C2DC" class="tcell"><strong>tba</strong><br />
 
      tba</td>
 
 
 
  </tr>
 
<tr>
 
<td class="tcell3" valign="center"><div align="right">18:00 - 18:30</div></td>
 
<td colspan="2" bgcolor="#CCCCCC" class="tcell3"><div align="center"><strong>Encerramento do primeiro dia</strong></div></td>
 
</tr>
 
</table>
 
</center>
 
 
 
 
 
 
 
 
 
'''Programa da Conferência - Dia 2 - 30 de outubro de 2009'''
 
  
 +
<br> '''Programa da Conferência - Dia 2 - 30 de outubro de 2009'''
 
<center>
 
<center>
<table width="80%" class="t">
+
{| width="80%" class="t"
<tr>
+
|-
<td width="14%" class="tcell3" valign="center"><div align="right">08:30 - 09:00</div></td>
+
| width="14%" height="17" align="right" | 08:30 - 09:00  
<td colspan="2" bgcolor="#8595C2" class="tcell3"><center>
+
| bgcolor="#8595c2" align="CENTER" | '''Recepção'''
  <strong>   Recepção   </strong>
+
|-
</center></td>
+
| width="14%" height="32" align="right" | 09:00 - 10:30
</tr>
+
| bgcolor="#b9c2dc" align="CENTER" | '''Jason Li e Jerry Hoff (Aspect Security) '''<br> Ágil e Seguro - É possível fazer os dois?
<tr>
+
|-
 
+
| width="14%" height="17" align="right" | 10:30 - 10:50
<td class="tcell2" valign="center"><div align="right">09:00 - 09:10</div></td>
+
| bgcolor="#d98b66" align="CENTER" | '''Intervalo'''
<td colspan="2" bgcolor="#eeeeee" class="tcell"><div align="center"><b>Abertura do segundo dia</b></div></td>
+
|-
</tr>
+
| width="14%" height="47" align="right" | 10:50 - 11:40
<tr>
+
| bgcolor="#eeeeee" align="CENTER" | '''Cassio Goldschmidt'''<br> Praticas e ferramentas fundamentais para o desenvolvimento de software seguro
<td class="tcell2" valign="center"><div align="right">09:10 - 10:40</div></td>
+
|-
<td colspan="2" bgcolor="#b9c2dc" class="tcell" align="center"><b>[http://www.owasp.org/index.php/AppSec_Brasil_2009_(pt-br)#tab=Keynotes Jason Li e Jerry Hoff] (Aspect Security)</b><br/>
+
| width="14%" height="32" align="right" | 11:40 - 12:30  
Agile and Secure: Can We Do Both?</td>
+
| bgcolor="#b9c2dc" align="CENTER" | '''Luiz Otávio Duarte'''<br> Abordagem Preventiva para Teste de Segurança em Aplicações Web
</tr>
+
|-
 
+
| width="14%" height="17" align="right" | 12:30 - 14:00
<tr>
+
| bgcolor="#d98b66" align="CENTER" | '''Almoço'''
  <td class="tcell2" valign="center"><div align="right">10:40 - 11:00</div></td>
+
|-
  <td colspan="2" bgcolor="#D98B66" class="tcell" ><div align="center"><strong>Intervalo</strong></div></td>
+
| width="14%" height="32" align="right" | 14:00 - 15:10  
  </tr>
+
| bgcolor="#eeeeee" align="CENTER" | '''Ulisses Castro'''<br>SQL Injection: Amplifying Data Leakeage<br>
<tr>
+
|-
  <td class="tcell2" valign="center"><div align="right">11:00 - 12:00</div></td>
+
| width="14%" height="32" align="right" | 15:10 - 16:00
  <td colspan="2" bgcolor="#B9C2DC" class="tcell" align="center"><strong>[http://www.owasp.org/index.php/AppSec_Brasil_2009_(pt-br)#tab=Keynotes Kuai Hinojosa] (OWASP)</strong><br />
+
| bgcolor="#b9c2dc" align="CENTER" | '''Sebastian Cufre'''<br> Técnicas Automáticas para “SQL Ownage”
      Deploying Secure Web Applications with OWASP Resources</td>
+
|-
  </tr>
+
| width="14%" height="17" align="right" | 16:00 - 16:20  
<tr>
+
| bgcolor="#d98b66" align="CENTER" | '''Intervalo'''
<td class="tcell3" valign="center"><div align="right">12:00 - 13:30</div></td>
+
|-
<td colspan="2" bgcolor="#D98B66" class="tcell3"><div align="center"><strong>Almoço</strong></div></td>
+
| width="14%" height="32" align="right" | 16:20 - 17:10  
  </tr>
+
| bgcolor="#eeeeee" align="CENTER" | '''Klaubert Herr da Silveira'''<br> ModSecurity: Firewall OpenSource para Aplicações Web (WAF)
<tr>
+
|-
<td class="tcell2" valign="center"><div align="right">13:30 - 14:20</div></td>
+
| width="14%" height="32" align="right" | 17:10 - 18:00  
<td colspan="2" bgcolor="#EEEEEE" class="tcell"><b>tba</b><br/>
+
| bgcolor="#b9c2dc" align="CENTER" | '''Philippe Sevestre'''<br> Programação Segura utilizando Análise Estática
  tba</td>
+
|-
</tr>
+
| width="14%" height="17" align="right" | 18:00 - 18:30  
<tr>
+
| bgcolor="#cccccc" align="CENTER" | '''Encerramento'''
<td class="tcell2" valign="center"><div align="right">14:20 - 15:10</div></td>
+
|}
<td colspan="2" bgcolor="#B9C2DC" class="tcell"><b>tba</b><br/>
+
</center>  
    tba</td>
+
<br>  
 
 
</tr>
 
<tr>
 
 
 
<tr>
 
<td class="tcell3" valign="center"><div align="right">15:10 - 15:30</div></td>
 
<td colspan="2" bgcolor="#D98B66" class="tcell3"><div align="center"><strong>Intervalo</strong></div></td>
 
</tr>
 
<tr>
 
<td class="tcell2" valign="center"><div align="right">15:30 - 16:20</div></td>
 
<td colspan="2" bgcolor="#B9C2DC" class="tcell"><b>tba</b><br/>
 
  tba</td>
 
 
 
                       
 
</tr>
 
<tr>
 
<td class="tcell2" valign="center"><div align="right">16:20 - 17:10</div></td>
 
<td colspan="2" bgcolor="#EEEEEE" class="tcell"><b>tba</b><br/>
 
  tba</td>
 
                       
 
</tr>
 
<tr>
 
  <td class="tcell2" valign="center"><div align="right">17:10 - 18:00</div></td>
 
  <td colspan="2" bgcolor="#B9C2DC" class="tcell" align="center"><strong>tba</strong><br />
 
      tba</td>
 
 
 
  </tr>
 
<tr>
 
<td class="tcell3" valign="center"><div align="right">18:00 - 18:30</div></td>
 
<td colspan="2" bgcolor="#CCCCCC" class="tcell3"><div align="center"><strong>Encerramento</strong></div></td>
 
</tr>
 
</table>
 
</center>
 
 
 
 
 
====Resumos das Palestras====
 
 
 
'''The Building Security In Maturity Model (BSIMM)'''
 
 
 
''Gary McGraw'', Cigital
 
 
 
As a discipline, software security has made great progress over the last decade.  There are now at least 34 large scale software security initiatives underway in enterprises including global financial services firms, independent software vendors, defense organizations, and other verticals.  In 2008, Brian Chess, Sammy Migues and I interviewed the executives running nine initiatives using the twelve practices of the Software Security Framework as our guide.  Those companies among the nine who graciously agreed to be identified include: Adobe, The Depository Trust and Clearing Corporation (DTCC), EMC, Google, Microsoft, QUALCOMM, and Wells Fargo. The resulting data, drawn from real programs at different levels of maturity was used to guide the construction of the Building Security In Maturity Model (BSIMM).  This talk will describe the observation-based maturity model, drawing examples from many real software security programs.  A maturity model is appropriate because improving software security almost always means changing the way an organization works ---people, process, and automation are all required.  While not all organizations need to achieve the same security goals, all successful large scale software security initiatives share common ideas and approaches.  Whether you rely on the Cigital Touchpoints, Microsoft's SDL, or OWASP CLASP, there is much to learn from practical experience.  Use the BSIMM as a yardstick to determine where you stand and what kind of software security plan will work best for you.
 
 
 
 
 
'''Agile and Secure: Can We Do Both?'''
 
 
 
''Jason Li and Jerry Hoff'', Aspect Security
 
 
 
Agile is taking the software development world by storm, but security has been  slow to adapt. What can we learn from the Agile movement? Is it possible to achieve security and remain Agile? Jason and Jerry will share Aspect Security's experiences working with Agile teams to gain assurance and save money. They'll compare and contrast traditional waterfall and agile processes and show how we can achieve assurance and security while remaining true to Agile principles
 
 
 
 
 
'''Deploying Secure Web Applications with OWASP Resources'''
 
 
 
''Kuai Hinojosa'', OWASP
 
 
 
Universities are key to making application security visible and the need
 
to educate software developers about application security as an aspect of proper
 
software development has never been more important. 
 
In this presentation I will share how OWASP resources can be
 
used by universities to develop, test and deploy secure web
 
applications. I will discuss challenges that Universities currently face integrating a
 
pplication security best practices, describe how OWASP tools and resources are currently used at  New York University
 
to test for most common web application flaws. I will introduce projects such as  the OWASP Enterprise Security API
 
which can be used to mitigate most common flaws in web applications and share initiatives the OWASP Global Education Committee is currently working on.
 
If you are interested in securing web applications,
 
and supporting the OWASP Global Education Committee efforts you don't want to miss this!
 
 
 
 
 
  
====Mini-Cursos====
+
==== Arquivos das Apresentações  ====
  
<span style="color:red;font-style:italic;font-weight:bold;font-size: 120%;"><center>Esta página lista os mini-cursos já aceitos e confirmados. As datas e períodos estão sujeitos a mudanças sem prévio aviso.</center></span>
+
'''Vídeos completos'''
  
 +
dia 1 (29/10): http://vod.camara.gov.br/cgi-bin/playlist.pl?p=auditorio1_2009-10-29-09-18-00-000_36000000&amp;d=1&amp;i=1&amp;v=0
  
 +
dia 2 (30/10): http://vod.camara.gov.br/cgi-bin/playlist.pl?p=auditorio1_2009-10-30-09-00-00-000_36000000&amp;d=1&amp;i=1&amp;v=0
  
'''Gestão de Riscos de Segurança Aplicada a Web Services'''
+
<br> '''Apresentações'''  
  
''José Eduardo Malta de Sá Brandão'', IPEA
+
<br> Abertura <br> Vídeo: http://vod.camara.gov.br/cgi-bin/playlist.pl?p=auditorio1_2009-10-29-09-18-00-000_2730000&amp;d=1&amp;i=1&amp;v=0 <br> Vídeo: http://vimeo.com/7461881
  
Data: 27/10
+
<br> Dinis Cruz, ''Apresentação do Projeto OWASP'' <br> Vídeo: http://vod.camara.gov.br/cgi-bin/playlist.pl?p=auditorio1_2009-10-29-10-03-00-000_1300000&amp;d=1&amp;i=1&amp;v=0 <br> Vídeo: http://vimeo.com/7482554
Período: manhã
 
  
O objetivo deste minicurso é apresentar a disciplina de gestão de riscos de segurança associada a web Services. O enfoque do curso visa elucidar aspectos conceituais e sistemáticos nestas metodologias, exemplificado em um estudo de caso que visa reforçar a utilidade e necessidade do uso destas metodologias para o entendimento e o desenvolvimento de web services. O curso deverá fornecer aos alunos base para desenvolverem seus próprios projetos de gestão de riscos. As apresentações deverão discorres sobre conceitos, descrição de modelos e na comparação dos principais padrões relacionados à gestão de riscos na segurança.
+
<br> Gary McGraw, ''O Modelo de Maturidade Building Security In'' <br> Transparências: [[Media:Bsimm09.pdf]] <br> Vídeo: http://vod.camara.gov.br/cgi-bin/playlist.pl?p=auditorio1_2009-10-29-10-25-00-000_7070000&amp;d=1&amp;i=1&amp;v=0 <br> Vídeo: http://vimeo.com/7476912
  
 +
<br> Dinis Cruz, ''Apanhado dos Projetos do OWASP'' <br> Vídeo: http://vod.camara.gov.br/cgi-bin/playlist.pl?p=auditorio1_2009-10-29-14-08-00-000_2800000&amp;d=1&amp;i=1&amp;v=0<br> Vídeo: http://vimeo.com/7506297
  
'''Segurança
 Web:
 Técnicas
 para
 Programação
 Segura
 de
 Aplicações'''
+
<br> Brian Contos, ''O Uso de Web Application Firewalls (WAF) e Sistemas de Database Activity Monitoring (DAM) Para Melhorar a Segurança de Código'' <br> Transparências: [[Media:OWASP_Brian_Contos_Making_a_Case_for_Data_Security_to_Network-Centric_Peers_and_Managers_October2009_Final.zip]] <br> Vídeo: http://vod.camara.gov.br/cgi-bin/playlist.pl?p=auditorio1_2009-10-29-14-56-00-000_3300000&amp;d=1&amp;i=1&amp;v=0<br>Vídeo: http://vimeo.com/7505808
  
''André Ricardo Abed Grégio'', CTI/MCT
+
<br> Dinis Cruz, ''O Projeto O2'' <br> Vídeo: http://vod.camara.gov.br/cgi-bin/playlist.pl?p=auditorio1_2009-10-29-16-05-00-000_3300000&amp;d=1&amp;i=1&amp;v=0 <br>Vide: http://vimeo.com/7506929
  
Data: 28/10
+
<br> Matt Tesauro, ''ROI: Otimize os Gastos com Segurança'' <br> Transparências: [[Media:AppSec_Brazil_OWASP_ROI-mtesauro.pdf]] <br>
Período: tarde
 
  
O treinamento visa apresentar os princípios e técnicas de programação segura, principalmente programação de
+
Vídeo: http://vod.camara.gov.br/cgi-bin/playlist.pl?p=auditorio1_2009-10-29-17-03-00-000_2700000&amp;amp;d=1&amp;amp;i=1&amp;amp;v=0 <br> Vídeo: http://vimeo.com/7461624
aplicações Web, abordando conceitos fundamentais da área, detalhando as vulnerabilidades possíveis de serem
 
exploradas e com foco nos métodos de mitigação destas falhas. São abordados exemplos práticos de como corrigir
 
vulnerabilidades baseadas no OWASP top 10 em diferentes linguagens de programação, com trechos de código
 
vulnerável de aplicações Web retirados de revisões de código realizadas pelos autores. São apresentadas também
 
algumas ferramentas para detecção de ataques e testes de vulnerabilidades em aplicações Web.
 
  
 +
<br> Pravir Chandra, ''O Modelo de Maturidade “Software Assurance Maturity Model (SAMM)'' <br> Transparências: http://www.opensamm.org/downloads/OpenSAMM-1.0.ppt <br>
  
'''Segurança Computacional no Desenvolvimento de Web Services'''
+
Vídeo: http://vod.camara.gov.br/cgi-bin/playlist.pl?p=auditorio1_2009-10-29-17-48-00-000_2750000&amp;amp;d=1&amp;amp;i=1&amp;amp;v=0 <br> Vídeo: http://vimeo.com/7461495
  
''Júlio Cesar Estrella et al'', ICMC/USP
+
<br> Jerry Hoff, ''Ágil e Seguro - É possível fazer os dois?'' <br> Transparências: [[Media:Jerry.Hoff.brazil_presentation.pdf]] <br>
  
Data: 28/10
+
Vídeo: http://vod.camara.gov.br/cgi-bin/playlist.pl?p=auditorio1_2009-10-30-09-21-00-000_2620000&amp;amp;d=1&amp;amp;i=1&amp;amp;v=0 <br> Vídeo: http://vimeo.com/7461340
Período: integral (manhã e tarde)
 
  
Este minicurso apresenta o desenvolvimento de aplicações distribuídas utilizando o conceito de SOA
+
<br> Cassio Goldschmidt, ''Práticas e ferramentas fundamentais para o desenvolvimento de software seguro'' <br> Transparências: [[Media:Praticas_e_ferramentas_fundamentais_para_o_desenvolvimento_de_software_seguro_-_AppSec_Brasil.pptx]] <br>
levando em consideração os aspectos de segurança computacional. Para o desenvolvimento das
 
aplicações clientes e servidoras serão considerados o uso da engine Apache Axis2. São abordados os
 
componentes básicos do Axis2, os tipos e modelos de invocação de Web Services bem como suas
 
principais características. Dois padrões de segurança para a construção de Web Services são
 
abordadas no contexto da engine Apache Axis2: WS-Security e SAML. A metodologia utilizada para
 
este minicurso envolve a utilização de tópicos expositivos e de exercícios práticos, abordando os
 
conceitos fundamentais da engine Axis2, e a construção de aplicações reais com foco em segurança.
 
  
 +
Vídeo: http://vod.camara.gov.br/cgi-bin/playlist.pl?p=auditorio1_2009-10-30-10-35-00-000_3500000&amp;amp;d=1&amp;amp;i=1&amp;amp;v=0 <br> Vídeo: http://vimeo.com/7461207
  
'''Tecnologias de Segurança em Web Services'''
+
<br> Luiz Otávio Duarte, ''Abordagem Preventiva para Teste de Segurança em Aplicações Web'' <br> Transparências: [[Media:AprOwasp_LOD_FER_WAL_NewVersion.pdf]] <br>
  
''Eduardo Takeo Ueda e Wilson Vicente Ruggiero''
+
Vídeo: http://vod.camara.gov.br/cgi-bin/playlist.pl?p=auditorio1_2009-10-30-11-34-00-000_3650000&amp;amp;d=1&amp;amp;i=1&amp;amp;v=0 <br> Vídeo: http://vimeo.com/7460959
  
Data: 28/10
+
<br> Ulisses Castro, ''SQL Injection: Amplificação de Data Leakage'' <br>
Período: manhã
 
  
Devido a sua característica de integração e por fazer uso de padrões abertos, os web services se tornaram uma área de grande interesse para acadêmicos e a indústria nos últimos anos. Inicialmente, pretendemos introduzir aos participantes os conceitos básicos da arquitetura orientada a serviços, com o intuito do treinamento ser auto-suficiente. Posteriormente serão apresentados os principais padrões e especificações de segurança que estão sendo desenvolvidos e devem ser adotados em web services. Por fim, o treinamento culmina com a exposição e caracterização de desafios atuais em segurança de web services.
+
Vídeo: http://vod.camara.gov.br/cgi-bin/playlist.pl?p=auditorio1_2009-10-30-14-02-00-000_2300000&amp;amp;d=1&amp;amp;i=1&amp;amp;v=0 <br> Vídeo: http://vimeo.com/7460521
  
 +
<br> Gary McGraw, ''Exploiting Online Games'' <br> Transparências: [[Media:EOG09.pdf]] <br> Vídeo: http://vod.camara.gov.br/cgi-bin/playlist.pl?p=auditorio1_2009-10-30-14-41-00-000_3000000&amp;d=1&amp;i=1&amp;v=0<br>Vídeo: http://vimeo.com/7507515
  
'''Hands on Web Application Testing using the OWASP Testing Guide.'''
+
<br> Sebastián Cufre, ''Técnicas Automáticas para “SQL Ownage”'' <br> Transparências: [[Media:OWASP_Brasil_2009_-_Automated_SQL_Ownage_Techniques.pptx]] <br>
  
''Matt Tesauro''
+
Vídeo: http://vod.camara.gov.br/cgi-bin/playlist.pl?p=auditorio1_2009-10-30-15-35-00-000_2450000&amp;amp;d=1&amp;amp;i=1&amp;amp;v=0 <br> Vídeo: http://vimeo.com/7462181
  
Data: 27 e 28/10 (2 dias)
+
<br> Anúncio do AppSec Brasil 2010 <br>
Período: integral (manhã e tarde)
 
  
The training will cover the critical areas of web application testing using the OWASP
+
Vídeo: http://vod.camara.gov.br/cgi-bin/playlist.pl?p=auditorio1_2009-10-30-16-16-00-000_120000&amp;amp;d=1&amp;amp;i=1&amp;amp;v=0 <br> Vídeo: http://vimeo.com/7461914
Testing Guide v3 as the framework for testing an application and the OWASP Live CD
 
for the tools to test with. A custom version of the OWASP Live CD will be created for
 
the training. It will include a self-contained testing environment providing vulnerable
 
applications so that both tools and the applications to test them on are provided.
 
  
====Informações Práticas====
+
<br> Klaubert Herr da Silveira, ''ModSecurity: Firewall OpenSource para Aplicações Web'' <br> Transparências: [[Media:OWASP_BSB_ModSecurity_Klaubert-Herr.ppt]] <br>
  
'''Local do evento'''
+
Vídeo: http://vod.camara.gov.br/cgi-bin/playlist.pl?p=auditorio1_2009-10-30-16-30-00-000_3520000&amp;amp;d=1&amp;amp;i=1&amp;amp;v=0 <br> Vídeo: http://vimeo.com/7462060
  
[[Image:CongressoNacional.jpg|The Palácio do Congresso building]]
+
<br> Philippe Sevestre, ''Programação Segura utilizando Análise Estática'' <br> Transparências: [[Media:AppSec_Brasil_2009-SecureProgrammingWithStaticAnalysis.pdf]] <br>
  
O evento será na Câmara dos Deputados em Brasília, DF, Brasil no endereço: Auditório Nereu Ramos, Câmara dos Deputados - Anexo II, Praça dos Três Poderes.
+
Vídeo: http://vod.camara.gov.br/cgi-bin/playlist.pl?p=auditorio1_2009-10-30-17-42-00-000_2850000&amp;amp;d=1&amp;amp;i=1&amp;amp;v=0 <br> Vídeo: http://vimeo.com/7461756
  
Veja a localização no [http://maps.google.com/maps?f=q&source=s_q&hl=pt-BR&geocode=&q=anexo+II,+camara+dos+deputados,+brasilia&sll=37.0625,-95.677068&sspn=43.934478,79.101563&ie=UTF8&t=h&ll=-15.800058,-47.865822&spn=0.01309,0.019312&z=16 Google Maps]
+
<br>
  
''Como chegar ao local da Conferência''
+
==== Mini-Cursos  ====
  
A definir
+
'''Gestão de Riscos de Segurança Aplicada a Web Services'''
  
'''Inscrições e Custos'''
+
''José Eduardo Malta de Sá Brandão'', IPEA
  
A Conferência será gratuita, mas será necessário inscrever-se previamente. O procedimento de inscrição será definido oportunamente.
+
Transparências: [[Media:Owasp2009_brandao.ppt]]
  
====Organização====
+
O objetivo deste minicurso é apresentar a disciplina de gestão de riscos de segurança associada a web Services. O enfoque do curso visa elucidar aspectos conceituais e sistemáticos nestas metodologias, exemplificado em um estudo de caso que visa reforçar a utilidade e necessidade do uso destas metodologias para o entendimento e o desenvolvimento de web services. O curso deverá fornecer aos alunos base para desenvolverem seus próprios projetos de gestão de riscos. As apresentações deverão discorres sobre conceitos, descrição de modelos e na comparação dos principais padrões relacionados à gestão de riscos na segurança.
  
'''Comitês'''
+
<br> '''Segurança
 Web:
 Técnicas
 para
 Programação
 Segura
 de
 Aplicações'''  
  
OWASP Conferences Chair: Dave Wichers - Aspect Security - dave.wichers 'at' owasp.org
+
''André Ricardo Abed Grégio e Vitor Monte Afonso'', CTI/MCT, ''Paulo Licio de Geus'', IC/UNICAMP
  
2009 AppSec Brasil - Comitê de Programa ([email protected]):
+
Transparências: [[Media:AppSecBR2009_VAfonso_AGregio_PGeus.pdf]]
* Coordenador Geral: Lucas C. Ferreira (lucas.ferreira at owasp.org)
 
* Coordenador de Tutoriais: Eduardo V. C. Neves (eduardo.neves at owasp.org)
 
* Coordenador do Programa: Wagner Elias (wagner.elias at owasp.org)
 
  
Equipe Organizadora
+
O treinamento visa apresentar os princípios e técnicas de programação segura, principalmente programação de aplicações Web, abordando conceitos fundamentais da área, detalhando as vulnerabilidades possíveis de serem exploradas e com foco nos métodos de mitigação destas falhas. São abordados exemplos práticos de como corrigir vulnerabilidades baseadas no OWASP top 10 em diferentes linguagens de programação, com trechos de código vulnerável de aplicações Web retirados de revisões de código realizadas pelos autores. São apresentadas também algumas ferramentas para detecção de ataques e testes de vulnerabilidades em aplicações Web.
  
* Cassio Goldschmidt (cassio 'at' owasp.org)
+
<br> '''Segurança&nbsp;Computacional&nbsp;no&nbsp;Desenvolvimento&nbsp;de&nbsp;Web&nbsp;Services'''  
* Kuai Hinojosa (kuai.hinojosa 'at' owasp.org)
 
* Leonardo Cavallari - (leo.cavallari 'at' owasp.org)
 
* Thiago Lechuga (thiagoalz 'at' gmail.com)
 
* Dinis Cruz (dinis.cruz 'at' owasp.org)
 
  
====Links ====
+
''Júlio Cesar Estrella et al'', ICMC/USP
  
Página do evento no LinkedIn: http://events.linkedin.com/OWASP-AppSec-Brasil/pub/65160
+
Transparências: [[Media:AppSec_Brasil_2009_Web_Services_Security.pdf]]
  
====Perguntas Frequentes====
+
Este minicurso apresenta o desenvolvimento de aplicações distribuídas utilizando o conceito de SOA levando em consideração os aspectos de segurança computacional. Para o desenvolvimento das aplicações clientes e servidoras serão considerados o uso da engine Apache Axis2. São abordados os componentes básicos do Axis2, os tipos e modelos de invocação de Web Services bem como suas principais características. Dois padrões de segurança para a construção de Web Services são abordadas no contexto da engine Apache Axis2: WS-Security e SAML. A metodologia utilizada para este minicurso envolve a utilização de tópicos expositivos e de exercícios práticos, abordando os conceitos fundamentais da engine Axis2, e a construção de aplicações reais com foco em segurança.
  
'''Quem está promovendo a conferência?'''
+
<br> '''Tecnologias de Segurança em Web Services'''  
  
Esta conferência é promovida e organizada pela [http://www.ticontrole.gov.br Comunidade TI-Controle] e a [http://www.camara.gov.br Câmara dos Deputados], sendo os conteúdos (apresentações, palestras, cursos, etc) selecionados pelo [[Brazilian| Capítulo Brasil da OWASP]].
+
''Eduardo Takeo Ueda e Wilson Vicente Ruggiero'', Poli/USP
  
'''Quanto irá custar?'''
+
<br> Devido a sua característica de integração e por fazer uso de padrões abertos, os web services se tornaram uma área de grande interesse para acadêmicos e a indústria nos últimos anos. Inicialmente, pretendemos introduzir aos participantes os conceitos básicos da arquitetura orientada a serviços, com o intuito do treinamento ser auto-suficiente. Posteriormente serão apresentados os principais padrões e especificações de segurança que estão sendo desenvolvidos e devem ser adotados em web services. Por fim, o treinamento culmina com a exposição e caracterização de desafios atuais em segurança de web services.
  
Nada. Graças ao seu patrocinador, a participação da conferência será gratuita. No entanto, devido ao número limitados de participantes, recomenda-se registrar antecipadamente.
+
<br> '''Hands on Web Application Testing using the OWASP Testing Guide.'''
  
'''''Chamada de Trabalhos'''''
+
''Matt Tesauro'', OWASP
  
'''O que é a OWASP (Open Web Application Security Project)?'''
+
Transparências: [[Media:Matt.tesauro.hands.on.zip]]
  
A OWASP (Projeto Aberto de Segurança de Aplicações Web, em português) é uma comunidade mundial aberta e livre focada em melhorar a segurança de aplicações. Nossa missão é tornar a segurança de aplicações visível, para que pessoas e organizações possam tomar decisões informadas sobre os reais riscos da segurança de aplicações. Todo mundo é livre para participar na OWASP e todo nosso material é disponível sob um licença de software livre e aberta. A Fundação OWASP é uma organização sem fins lucrativos que garante a constante disponibilidade e suporte para nosso trabalho com seu suporte.
+
O treinamento irá cobrir as áreas críticas do teste de aplicações Web utilizando o Guia de Testes (Testing Guide) da OWASP v3, como framework de testes de aplicação, e o OWASP Live CD, com as ferramentas para realizar os testes. Uma versão customizada do OWASP Live CD irá ser criada para o treinamento. Ela irá incluir um ambiente controlado de testes oferecendo aplicações vulneráveis de forma que tanto as ferramentas e as aplicações para testar as ferramentas serão incluídas.  
  
'''Quantas sessões haverão?'''
+
<br>
  
Veja a agenda na [http://www.owasp.org/index.php/AppSec_Brasil_2009 página principal] da conferência.
+
==== Local  ====
  
'''Quais são os prazos para submissão?'''
+
'''Local das plenárias'''  
  
O prazo para submissão é 11 de Julho, sendo que a versão final dos trabalhos selecionados deve ser enviado até 15 de setembro de 2009.
+
[[Image:CongressoNacional.jpg|The Palácio do Congresso building]]
  
'''Quem poderá submeter trabalhos?'''
+
O evento será na Câmara dos Deputados em Brasília, DF, Brasil no endereço: Auditório Nereu Ramos, Câmara dos Deputados - Anexo II, Praça dos Três Poderes.
  
Autores principais podem submeter seus trabalhos para avaliação. Representantes de terceiros, como empresas de relações públicas ou representantes de palestrantes, NÃO DEVEM submeter trabalhos em nome de um potencial palestrante.
+
Veja a localização no [http://maps.google.com/maps?f=q&source=s_q&hl=pt-BR&geocode=&q=anexo+II,+camara+dos+deputados,+brasilia&sll=37.0625,-95.677068&sspn=43.934478,79.101563&ie=UTF8&t=h&ll=-15.800058,-47.865822&spn=0.01309,0.019312&z=16 Google Maps]
  
'''Por que submissões de trbalhos por Representantes, como empresas de RP, não são permitidos?'''
+
''Como chegar ao local da Conferência''  
  
Devido aos direitos autorais e responsabilidade com problemas de propriedade intelectual, bem como a necessidade da OWASP ter contato direto com os potenciais apresentadores para fornecer detalhes e providenciar os materiais, nós requeremos que apenas os autores principais submetam suas apresentações. Representantes de terceiros, como empresas de relações públicas ou representantes de palestrantes, NÃO DEVEM submeter trabalhos em nome de um potencial palestrante.
+
A definir
  
'''Existe alguma restrição no conteúdo das apresentações?'''
+
<br> '''Local dos Mini-cursos'''  
  
Sim, todas as apresentações devem respeitar as regras definidas no [[Speaker Agreement |Acordo de Palestrantes da OWASP]]. Basicamente, as apresentações não devem possuir qualquer conteúdo promocional ou faça referência a marcas e produtos.
+
Os mini-cursos ocorrerão no Centro de Formação, Treinamento e Aperfeiçoamento da Câmara dos Deputados, localizado na via N3, Projeção L, Setor de Garagens Ministeriais Norte, Complexo Avançado da Câmara dos Deputados, Bloco B. Veja a localização no [http://maps.google.com.br/maps/ms?ie=UTF8&hl=pt-BR&msa=0&ll=-15.793895,-47.864009&spn=0.005017,0.006866&t=h&z=17&msid=106468407154665154285.0004577c477849eda80f3 mapa].  
  
'''Quanto tempo eu terei que esperar antes de ser notificado se meu trabalho foi aceito ou negado?'''
+
''Como chegar ao local dos Mini-cursos''  
  
Os autores serão notificados do resultado (aceito ou negado) em 7 de Agosto de 2009.  
+
Estamos verificando a possibilidade de haver transporte de algum ponto da Esplanada dos Ministérios até o local dos mini-cursos. Assim que tivermos mais informações, divulgaremos nesta página.  
  
'''Existe algum honorário para os palestrantes?'''
+
Para ir de táxi, mostre o mapa acima para o motorista. É pouco provável que o motorista consiga chegar apenas com o endereço do local.
  
Não. A OWASP é comprometida em tornar sua conferência para a maior audiência possível. Neste sentido, a OWASP manterá a entrada gratuita para a AppSec Brasil 2009 de forma a tornar a conferência acessível. Por conta disto, nós não somos capazes de oferecer gratificações mas recebemos nossos palestrantes como convidados para a conferência onde eles poderão interagir com outros profissionais de segurança. Nós iremos oferecer hospedagem e passagem aérea para um apresentador de cada tarabalho selecionado.
+
Não aconselhamos ir de carro, pois há séria dificuldade em encontrar vagas para estacionar na região do Congresso e Ministérios.  
  
'''Eu fui aceito. Quais são os materiais que eu preciso depositar e quais são os prazos?'''
+
<br>
  
A lista a seguir apresenta os materiais que são requeridos para cada apresentação aceita. O não cumprimento na submissão desses materiais no prazo previamente determinado acarretará no cancelamento da aprovação do trabalho.
+
==== Organização  ====
* [[Speaker_Agreement | Acordo de Palestrante]] (15 de Julho de 2009)
 
* Apresentação no formato PowerPoint conforme http://www.owasp.org/images/5/54/Presentation_template.ppt OWASP Template] (15 de Setembro de 2009)
 
* Bibliografia detalhada de recursos, co-autores, etc (15 de Setembro de 2009)
 
* Opcional: Artigo para inclusão no CD da conferência (15 de Setembro de 2009)
 
  
'''Eu preciso submeter um artigo?'''
+
'''Comitês'''  
  
Não.  Nós certamente apreciamos todo artigo que possa ser incluído no website e CD da conferência, mas isto não é orbigatório. Se você tem um artigo escrito para acompanhar sua apresentação, por favor envie-nos junto com sua submissão. Submissões com artigos anexados recebrão considerações adicionais.
+
OWASP Conferences Chair: Dave Wichers - Aspect Security - dave.wichers 'at' owasp.org
   
 
'''O que acontece caso eu tenha um co-autor que não está apresentando. Como eu referencio esta pessoa??'''
 
  
Todos os co-autores e trabalhos utilizados devem ser citados na bibliografia detalhada que será publicada no CD da conferência.
+
2009 AppSec Brasil - Comitê de Programa (appsec.[email protected]):
  
'''Eu fui aceito e gostaria de adicionar um co-apresentador. Eu ainda posso fazer isso?'''
+
*Coordenador Geral: Lucas C. Ferreira (lucas.ferreira at owasp.org)
 +
*Coordenador de Tutoriais: Eduardo V. C. Neves (eduardo.neves at owasp.org)
 +
*Coordenador do Programa: Wagner Elias (wagner.elias at owasp.org)
  
Não. Co-apresentadores devem ser adicionados no momento em que a apresentação for submetida. Eles podem participar da conferência e apresentar, caso se registrem como qualquer outro participante.
+
Equipe Organizadora
  
'''Minha empresa de RP/amigos/família/amigos de trabalho gostariam de prestigiar minha apresentação. A presença deles será permitida gratuitamente??'''
+
*Cassio Goldschmidt (cassio 'at' owasp.org)
 +
*Kuai Hinojosa (kuai.hinojosa 'at' owasp.org)
 +
*Leonardo Cavallari - (leo.cavallari 'at' owasp.org)
 +
*Thiago Lechuga (thiagoalz 'at' gmail.com)
 +
*Dinis Cruz (dinis.cruz 'at' owasp.org)
  
Sim, mas eles precisam se registrar pelo site como todo outro participante.
+
==== Links  ====
  
'''Eu tenho outras dúvidas...'''
+
Página do evento no LinkedIn: http://events.linkedin.com/OWASP-AppSec-Brasil/pub/65160
  
Envie um e-mail para [email protected].br a respeito deste evento.
+
<br> __NOTOC__ <headertabs />
  
__NOTOC__
+
[[Category:OWASP_AppSec_Conference]]
<headertabs/>
 
[[Category:OWASP AppSec Conference]]
 

Latest revision as of 14:40, 18 November 2009

Conferência Internacional de Segurança de Aplicações (AppSec Brasil 2009)

A comunidade Comunidade TI-Controle e o Centro de Informática da Câmara dos Deputados apresentam a Conferência Internacional de Segurança de Aplicações, que será realizada com o apoio do OWASP (Open Web Application Security Project) em Brasília, capital do Brasil. A conferência consistirá de dois dias de treinamentos, seguidos de dois dias de plenárias em trilha única.

Brasilia Panorama.jpg

Datas

A Conferência ocorrerá do dia 27 ao 30 de outubro de 2009. Os dias 27 e 28 de outubro serão dedicados ao mini-cursos e os dias 29 e 30 terão as sessões plenárias.


Promoção

Esta conferência é promovida pela Comunidade TI-Controle e organizada pelo Centro de Informática da Câmara dos Deputados.

A Conferência tem o apoio do OWASP, Capítulo Brasil, como provedor de conteúdo (seleção de palestras e cursos e montagem da grade de horários).

A Conferência tem o apoio da Universidade de Brasília (UnB) Unb.gif

A Conferência tem o patrocínio de Conviso IT Security CorVersao BR Small.jpg e LeadComm LeadComm Logo Screen.jpg

Keynotes

Gary McGraw

CTO, Cigital


GaryMcGraw.JPG

Título: O Modelo de Maturidade Building Security In (BSIMM)

Biografia: Gary McGraw é o CTO da Cigital, Inc., uma empresa de segurança e qualidade de software com sede em Washington, Estados Unidos. Ele é reconhecido mundialmente como uma autoridade em segurança de software e é autor de oito importantes livros sobre este tópico, incluindo: "Java Security", "Building Secure Software", "Exploiting software", "Software Security" e "Exploiting Online Games". Ele é também editor da série de livros sobre segurança de software na editora Addison-Wesley. Dr. McGraw também escreveu mais de 100 artigos científicos, escreve uma coluna mensal para o site informIT e é frequentemente citado na mídia. Além de servir como consultor estratégico para importantes empresas e executivos de TI, Gary faz parte dos Conselhos Administrativos das empresas Fortify Software e Raven White. Ele recebeu um PhD duplo em Ciência Cognitiva e Ciência da Computação pela Universidade de Indiana, onde ele faz parte do Conselho Consultivo da Escola de Informática. Ele também produz o podcast "Silver Bullet" para a revista IEEE Security & Privacy e produz o podcast Reality Check Security para o site CSO online.


Jason Li

Aspect Security

Título: Ágil e Seguro: É possível fazer os dois?

Co-autor: Jerry Hoff, Aspect Security

Biografias: Jason Li é engenheiro senior de segurança de aplicações na Aspect Security. Jason conduz revisões de arquiteturas de segurança, revisão de segurança em código de aplicações, testes de segurança e provê treinamentos de segurança em aplicações Web para diversas empresas do ramo de varejo, financeiro e governamentais. Ele também é ativamente envolvido na OWASP, apoiando do Comitê de Projetos Globais da OWASP e como co-autor do Projeto Antisamy da OWASP (versão Java). Jason obteve seu pós-mestrado em Ciências da Computação com concentração em Segurança da Informação pela Universidade Johns Hopkins. Ele obteve seu grau de Mestre em Ciências da Computação pela Universidade Cornell, onde obteve também sua graduação dupla, em Ciências da COmputação e Pesquisador de Operações.

Jerry Hoff é engenheiro senior de segurança de aplicações na Aspect Security. Jerry coordena e executa numerosas revisões de segurança em código de aplicações para clientes de diversas industrias. Jerry também fornece treinamentos para clientes e possui mais de 10 anos de experiência ensinando e desenvolvendo. Jerry também é envolvido com a OWASP e foi o líder do projeto AntiSamy .net. Ele possui mestrado em Ciências da Computação pela Universidade de Washington em St. Louis.


Dinis Cruz

OWASP Board

Título: A Definir

Biografia:

A definir.


Kuai Hinojosa

OWASP

Título: Implementando Aplicações Web Seguras Usando Recursos do OWASP

Biografia:

Kuai Hinojosa desenvolve e protege aplicações Web por mais de 12 anos. Anteriormente, ele trabalhou no setor bancário como administrador de segurança de base de dados para o quinto maior banco dos Estados Unidos, onde ele trabalhou em um pequeno time de desenvolvimento de aplicações para proteção dos ativos da empresa. Ele trabalha agora na Universidade de Nova Yorque como Especialista de Aplicações Web onde ele continua a empregar o desenvolvimento de aplicações Web e a experiência em segurança de aplicações para proteger os recursos da universidade. Em seu tempo livre, Kuai se voluntaria para catequisar sermões de segurança de aplicações and liderar o capítulo de Mineapolis da OWASP. Kuai é membro do Comitê Global de Edução da OWASP.


Agenda

Programa da Conferência - Dia 1 - 29 de outubro de 2009

08:30 - 09:00 Recepção
09:00 - 10:00 Abertura
10:00 - 10:30 Dinis Cruz
 Apresentação do Projeto OWASP
10:30 - 12:30 Gary McGraw (Cigital)
 Modelo de Maturidade Building Security In (BSIMM)
12:30 - 14:00 Almoço
14:00 - 14:50 Dinis Cruz
 Apanhado dos Projetos do OWASP
14:50 - 15:40 Thomas Schreiber
 As Camadas Lógica e Semântica da Segurança de Aplicações Web
15:40 - 16:00 Break
16:00 - 16:50 Brian Contos
 O Uso de Web Application Firewalls (WAF) e Sistemas de Database Activity Monitoring (DAM) Para Melhorar a Segurança de Código
16:50 - 17:40 Matt Tesauro
 ROI: Otimize os Gastos com Segurança
17:40 - 18:30 Pravir Chandra
O Modelo de Maturidade “Software Assurance Maturity Model (SAMM)”
18:30 - 18:35 Encerramento do Primeiro Dia



Programa da Conferência - Dia 2 - 30 de outubro de 2009

08:30 - 09:00 Recepção
09:00 - 10:30 Jason Li e Jerry Hoff (Aspect Security)
Ágil e Seguro - É possível fazer os dois?
10:30 - 10:50 Intervalo
10:50 - 11:40 Cassio Goldschmidt
Praticas e ferramentas fundamentais para o desenvolvimento de software seguro
11:40 - 12:30 Luiz Otávio Duarte
Abordagem Preventiva para Teste de Segurança em Aplicações Web
12:30 - 14:00 Almoço
14:00 - 15:10 Ulisses Castro
SQL Injection: Amplifying Data Leakeage
15:10 - 16:00 Sebastian Cufre
Técnicas Automáticas para “SQL Ownage”
16:00 - 16:20 Intervalo
16:20 - 17:10 Klaubert Herr da Silveira
ModSecurity: Firewall OpenSource para Aplicações Web (WAF)
17:10 - 18:00 Philippe Sevestre
Programação Segura utilizando Análise Estática
18:00 - 18:30 Encerramento


Arquivos das Apresentações

Vídeos completos

dia 1 (29/10): http://vod.camara.gov.br/cgi-bin/playlist.pl?p=auditorio1_2009-10-29-09-18-00-000_36000000&d=1&i=1&v=0

dia 2 (30/10): http://vod.camara.gov.br/cgi-bin/playlist.pl?p=auditorio1_2009-10-30-09-00-00-000_36000000&d=1&i=1&v=0


Apresentações


Abertura
Vídeo: http://vod.camara.gov.br/cgi-bin/playlist.pl?p=auditorio1_2009-10-29-09-18-00-000_2730000&d=1&i=1&v=0
Vídeo: http://vimeo.com/7461881


Dinis Cruz, Apresentação do Projeto OWASP
Vídeo: http://vod.camara.gov.br/cgi-bin/playlist.pl?p=auditorio1_2009-10-29-10-03-00-000_1300000&d=1&i=1&v=0
Vídeo: http://vimeo.com/7482554


Gary McGraw, O Modelo de Maturidade Building Security In
Transparências: Media:Bsimm09.pdf
Vídeo: http://vod.camara.gov.br/cgi-bin/playlist.pl?p=auditorio1_2009-10-29-10-25-00-000_7070000&d=1&i=1&v=0
Vídeo: http://vimeo.com/7476912


Dinis Cruz, Apanhado dos Projetos do OWASP
Vídeo: http://vod.camara.gov.br/cgi-bin/playlist.pl?p=auditorio1_2009-10-29-14-08-00-000_2800000&d=1&i=1&v=0
Vídeo: http://vimeo.com/7506297


Brian Contos, O Uso de Web Application Firewalls (WAF) e Sistemas de Database Activity Monitoring (DAM) Para Melhorar a Segurança de Código
Transparências: Media:OWASP_Brian_Contos_Making_a_Case_for_Data_Security_to_Network-Centric_Peers_and_Managers_October2009_Final.zip
Vídeo: http://vod.camara.gov.br/cgi-bin/playlist.pl?p=auditorio1_2009-10-29-14-56-00-000_3300000&d=1&i=1&v=0
Vídeo: http://vimeo.com/7505808


Dinis Cruz, O Projeto O2
Vídeo: http://vod.camara.gov.br/cgi-bin/playlist.pl?p=auditorio1_2009-10-29-16-05-00-000_3300000&d=1&i=1&v=0
Vide: http://vimeo.com/7506929


Matt Tesauro, ROI: Otimize os Gastos com Segurança
Transparências: Media:AppSec_Brazil_OWASP_ROI-mtesauro.pdf

Vídeo: http://vod.camara.gov.br/cgi-bin/playlist.pl?p=auditorio1_2009-10-29-17-03-00-000_2700000&amp;d=1&amp;i=1&amp;v=0
Vídeo: http://vimeo.com/7461624


Pravir Chandra, O Modelo de Maturidade “Software Assurance Maturity Model (SAMM)
Transparências: http://www.opensamm.org/downloads/OpenSAMM-1.0.ppt

Vídeo: http://vod.camara.gov.br/cgi-bin/playlist.pl?p=auditorio1_2009-10-29-17-48-00-000_2750000&amp;d=1&amp;i=1&amp;v=0
Vídeo: http://vimeo.com/7461495


Jerry Hoff, Ágil e Seguro - É possível fazer os dois?
Transparências: Media:Jerry.Hoff.brazil_presentation.pdf

Vídeo: http://vod.camara.gov.br/cgi-bin/playlist.pl?p=auditorio1_2009-10-30-09-21-00-000_2620000&amp;d=1&amp;i=1&amp;v=0
Vídeo: http://vimeo.com/7461340


Cassio Goldschmidt, Práticas e ferramentas fundamentais para o desenvolvimento de software seguro
Transparências: Media:Praticas_e_ferramentas_fundamentais_para_o_desenvolvimento_de_software_seguro_-_AppSec_Brasil.pptx

Vídeo: http://vod.camara.gov.br/cgi-bin/playlist.pl?p=auditorio1_2009-10-30-10-35-00-000_3500000&amp;d=1&amp;i=1&amp;v=0
Vídeo: http://vimeo.com/7461207


Luiz Otávio Duarte, Abordagem Preventiva para Teste de Segurança em Aplicações Web
Transparências: Media:AprOwasp_LOD_FER_WAL_NewVersion.pdf

Vídeo: http://vod.camara.gov.br/cgi-bin/playlist.pl?p=auditorio1_2009-10-30-11-34-00-000_3650000&amp;d=1&amp;i=1&amp;v=0
Vídeo: http://vimeo.com/7460959


Ulisses Castro, SQL Injection: Amplificação de Data Leakage

Vídeo: http://vod.camara.gov.br/cgi-bin/playlist.pl?p=auditorio1_2009-10-30-14-02-00-000_2300000&amp;d=1&amp;i=1&amp;v=0
Vídeo: http://vimeo.com/7460521


Gary McGraw, Exploiting Online Games
Transparências: Media:EOG09.pdf
Vídeo: http://vod.camara.gov.br/cgi-bin/playlist.pl?p=auditorio1_2009-10-30-14-41-00-000_3000000&d=1&i=1&v=0
Vídeo: http://vimeo.com/7507515


Sebastián Cufre, Técnicas Automáticas para “SQL Ownage”
Transparências: Media:OWASP_Brasil_2009_-_Automated_SQL_Ownage_Techniques.pptx

Vídeo: http://vod.camara.gov.br/cgi-bin/playlist.pl?p=auditorio1_2009-10-30-15-35-00-000_2450000&amp;d=1&amp;i=1&amp;v=0
Vídeo: http://vimeo.com/7462181


Anúncio do AppSec Brasil 2010

Vídeo: http://vod.camara.gov.br/cgi-bin/playlist.pl?p=auditorio1_2009-10-30-16-16-00-000_120000&amp;d=1&amp;i=1&amp;v=0
Vídeo: http://vimeo.com/7461914


Klaubert Herr da Silveira, ModSecurity: Firewall OpenSource para Aplicações Web
Transparências: Media:OWASP_BSB_ModSecurity_Klaubert-Herr.ppt

Vídeo: http://vod.camara.gov.br/cgi-bin/playlist.pl?p=auditorio1_2009-10-30-16-30-00-000_3520000&amp;d=1&amp;i=1&amp;v=0
Vídeo: http://vimeo.com/7462060


Philippe Sevestre, Programação Segura utilizando Análise Estática
Transparências: Media:AppSec_Brasil_2009-SecureProgrammingWithStaticAnalysis.pdf

Vídeo: http://vod.camara.gov.br/cgi-bin/playlist.pl?p=auditorio1_2009-10-30-17-42-00-000_2850000&amp;d=1&amp;i=1&amp;v=0
Vídeo: http://vimeo.com/7461756


Mini-Cursos

Gestão de Riscos de Segurança Aplicada a Web Services

José Eduardo Malta de Sá Brandão, IPEA

Transparências: Media:Owasp2009_brandao.ppt

O objetivo deste minicurso é apresentar a disciplina de gestão de riscos de segurança associada a web Services. O enfoque do curso visa elucidar aspectos conceituais e sistemáticos nestas metodologias, exemplificado em um estudo de caso que visa reforçar a utilidade e necessidade do uso destas metodologias para o entendimento e o desenvolvimento de web services. O curso deverá fornecer aos alunos base para desenvolverem seus próprios projetos de gestão de riscos. As apresentações deverão discorres sobre conceitos, descrição de modelos e na comparação dos principais padrões relacionados à gestão de riscos na segurança.


Segurança
 Web:
 Técnicas
 para
 Programação
 Segura
 de
 Aplicações

André Ricardo Abed Grégio e Vitor Monte Afonso, CTI/MCT, Paulo Licio de Geus, IC/UNICAMP

Transparências: Media:AppSecBR2009_VAfonso_AGregio_PGeus.pdf

O treinamento visa apresentar os princípios e técnicas de programação segura, principalmente programação de aplicações Web, abordando conceitos fundamentais da área, detalhando as vulnerabilidades possíveis de serem exploradas e com foco nos métodos de mitigação destas falhas. São abordados exemplos práticos de como corrigir vulnerabilidades baseadas no OWASP top 10 em diferentes linguagens de programação, com trechos de código vulnerável de aplicações Web retirados de revisões de código realizadas pelos autores. São apresentadas também algumas ferramentas para detecção de ataques e testes de vulnerabilidades em aplicações Web.


Segurança Computacional no Desenvolvimento de Web Services

Júlio Cesar Estrella et al, ICMC/USP

Transparências: Media:AppSec_Brasil_2009_Web_Services_Security.pdf

Este minicurso apresenta o desenvolvimento de aplicações distribuídas utilizando o conceito de SOA levando em consideração os aspectos de segurança computacional. Para o desenvolvimento das aplicações clientes e servidoras serão considerados o uso da engine Apache Axis2. São abordados os componentes básicos do Axis2, os tipos e modelos de invocação de Web Services bem como suas principais características. Dois padrões de segurança para a construção de Web Services são abordadas no contexto da engine Apache Axis2: WS-Security e SAML. A metodologia utilizada para este minicurso envolve a utilização de tópicos expositivos e de exercícios práticos, abordando os conceitos fundamentais da engine Axis2, e a construção de aplicações reais com foco em segurança.


Tecnologias de Segurança em Web Services

Eduardo Takeo Ueda e Wilson Vicente Ruggiero, Poli/USP


Devido a sua característica de integração e por fazer uso de padrões abertos, os web services se tornaram uma área de grande interesse para acadêmicos e a indústria nos últimos anos. Inicialmente, pretendemos introduzir aos participantes os conceitos básicos da arquitetura orientada a serviços, com o intuito do treinamento ser auto-suficiente. Posteriormente serão apresentados os principais padrões e especificações de segurança que estão sendo desenvolvidos e devem ser adotados em web services. Por fim, o treinamento culmina com a exposição e caracterização de desafios atuais em segurança de web services.


Hands on Web Application Testing using the OWASP Testing Guide.

Matt Tesauro, OWASP

Transparências: Media:Matt.tesauro.hands.on.zip

O treinamento irá cobrir as áreas críticas do teste de aplicações Web utilizando o Guia de Testes (Testing Guide) da OWASP v3, como framework de testes de aplicação, e o OWASP Live CD, com as ferramentas para realizar os testes. Uma versão customizada do OWASP Live CD irá ser criada para o treinamento. Ela irá incluir um ambiente controlado de testes oferecendo aplicações vulneráveis de forma que tanto as ferramentas e as aplicações para testar as ferramentas serão incluídas.


Local

Local das plenárias

The Palácio do Congresso building

O evento será na Câmara dos Deputados em Brasília, DF, Brasil no endereço: Auditório Nereu Ramos, Câmara dos Deputados - Anexo II, Praça dos Três Poderes.

Veja a localização no Google Maps

Como chegar ao local da Conferência

A definir


Local dos Mini-cursos

Os mini-cursos ocorrerão no Centro de Formação, Treinamento e Aperfeiçoamento da Câmara dos Deputados, localizado na via N3, Projeção L, Setor de Garagens Ministeriais Norte, Complexo Avançado da Câmara dos Deputados, Bloco B. Veja a localização no mapa.

Como chegar ao local dos Mini-cursos

Estamos verificando a possibilidade de haver transporte de algum ponto da Esplanada dos Ministérios até o local dos mini-cursos. Assim que tivermos mais informações, divulgaremos nesta página.

Para ir de táxi, mostre o mapa acima para o motorista. É pouco provável que o motorista consiga chegar apenas com o endereço do local.

Não aconselhamos ir de carro, pois há séria dificuldade em encontrar vagas para estacionar na região do Congresso e Ministérios.


Organização

Comitês

OWASP Conferences Chair: Dave Wichers - Aspect Security - dave.wichers 'at' owasp.org

2009 AppSec Brasil - Comitê de Programa ([email protected]):

  • Coordenador Geral: Lucas C. Ferreira (lucas.ferreira at owasp.org)
  • Coordenador de Tutoriais: Eduardo V. C. Neves (eduardo.neves at owasp.org)
  • Coordenador do Programa: Wagner Elias (wagner.elias at owasp.org)

Equipe Organizadora

  • Cassio Goldschmidt (cassio 'at' owasp.org)
  • Kuai Hinojosa (kuai.hinojosa 'at' owasp.org)
  • Leonardo Cavallari - (leo.cavallari 'at' owasp.org)
  • Thiago Lechuga (thiagoalz 'at' gmail.com)
  • Dinis Cruz (dinis.cruz 'at' owasp.org)

Links

Página do evento no LinkedIn: http://events.linkedin.com/OWASP-AppSec-Brasil/pub/65160


Retrieved from "https://wiki.owasp.org/index.php?title=AppSec_Brasil_2009_(pt-br)&oldid=73667"