This site is the archived OWASP Foundation Wiki and is no longer accepting Account Requests.
To view the new OWASP Foundation website, please visit https://owasp.org

AppSec Brasil 2009 (pt-br)

From OWASP
Revision as of 17:13, 14 August 2009 by Sapao (talk | contribs) (Datas)

Jump to: navigation, search

Conferência Internacional de Segurança de Aplicações (AppSec Brasil 2009)

A comunidade Comunidade TI-Controle e o Centro de Informática da Câmara dos Deputados apresentam a Conferência Internacional de Segurança de Aplicações, que será realizada com o apoio do OWASP (Open Web Application Security Project) em Brasília, capital do Brasil. A conferência consistirá de dois dias de treinamentos, seguidos de dois dias de plenárias em trilha única.

Brasilia Panorama.jpg

Datas

A Conferência ocorrerá do dia 27 ao 30 de outubro de 2009. Os dias 27 e 28 de outubro serão dedicados ao mini-cursos e os dias 29 e 30 terão as sessões plenárias.


Aviso aos Autores de propostas de palestras e mini-cursos:

A seleção das propostas já foi encerrada. Os autores das propostas selecionadas foram avisados e têm um prazo para confirmar a participação no evento. As demais propostas estão em uma 'fila de espera'.

Caso alguma proposta não seja confirmada, chamaremos os demais autores na ordem da fila de espera. Notificaremos os autores que não forem escolhidos assim que a grade de palestras e mini-cursos for concluída.


Promoção

Esta conferência é promovida pela Comunidade TI-Controle e organizada pelo Centro de Informática da Câmara dos Deputados.

A Conferência tem o apoio do OWASP, Capítulo Brasil, como provedor de conteúdo (seleção de palestras e cursos e montagem da grade de horários).

Keynotes

Gary McGraw

CTO, Cigital


GaryMcGraw.JPG

Título: The Building Security In Maturity Model (BSIMM)

Biografia: Gary McGraw é o CTO da Cigital, Inc., uma empresa de segurança e qualidade de software com sede em Washington, Estados Unidos. Ele é reconhecido mundialmente como uma autoridade em segurança de software e é autor de oito importantes livros sobre este tópico, incluindo: "Java Security", "Building Secure Software", "Exploiting software", "Software Security" e "Exploiting Online Games". Ele é também editor da série de livros sobre segurança de software na editora Addison-Wesley. Dr. McGraw também escreveu mais de 100 artigos científicos, escreve uma coluna mensal para o site informIT e é frequentemente citado na mídia. Além de servir como consultor estratégico para importantes empresas e executivos de TI, Gary faz parte dos Conselhos Administrativos das empresas Fortify Software e Raven White. Ele recebeu um PhD duplo em Ciência Cognitiva e Ciência da Computação pela Universidade de Indiana, onde ele faz parte do Conselho Consultivo da Escola de Informática. Ele também produz o podcast "Silver Bullet" para a revista IEEE Security & Privacy e produz o podcast Reality Check Security para o site CSO online.


Jason Li

Aspect Security

Título: Agile and Secure: Can We Do Both?

Co-autor: Jerry Hoff, Aspect Security

Biografias: Jason Li is a Senior Application Security Engineer at Aspect Security. Jason has led security architecture reviews, application security code reviews, penetration tests and provided web application security training services for a variety of commercial, financial, and government customers. He is also actively involved in the Open Web Application Security Project (OWASP), serving on the OWASP Global Projects Committee and as a co-author of the OWASP AntiSamy Project (Java version). Jason earned his Post-Master's degree in Computer Science with a concentration in Information Assurance from Johns Hopkins University. He earned his Master's degree in Computer Science from Cornell University, where he also earned his Bachelor's degree, double majoring in Computer Science and Operations Research.

Jerry Hoff is a Senior Application Security Engineer at Aspect Security. Jerry has led and performed numerous application security code reviews for clients across multiple industries. Jerry also provides training services for clients, and has over 10 years teaching and development experience. Jerry is also involved in the Open Web Application Security Project (OWASP) and was the lead developer of AntiSamy.net project. He has a master's degree in Computer Science from Washington University in St. Louis.


Dinis Cruz

OWASP Board

Título: A Definir

Biografia:

A definir.


Kuai Hinojosa

OWASP

Título: Deploying Secure Web Applications with OWASP Resources

Biografia: Kuai Hinojosa has been developing and securing web applications for about 12 years. He previously worked in the banking industry as a database security administrator for the 5th largest bank in the U.S. where he worked in a small team developing applications that protected company's assets. He now works for New York University as a Web Applications Specialist where he continues to use web application development and application security experience to protect university resources. In his spare time Kuai volunteers his time preaching the application security gospel and leading the Minneapolis OWASP chapter. Kuai is a member of the OWASP (Open Web Application Security Project) Global Education Committee.

Agenda

Esta agenda é preliminar e sujeita a mudanças

Programa da Conferência - Dia 1 - 29 de outubro de 2009

08:30 - 09:00

Recepção

09:00 - 10:00
Abertura
10:00 - 12:00
Gary McGraw (Cigital)
The Building Security In Maturity Model (BSIMM)
12:00 - 13:30
Almoço
13:30 - 14:20
Dinis Cruz (OWASP)
tba
14:20 - 15:10
Thomas Schreiber (SecureNet)
The Logic and Semantic Layer of Web Application Security
15:10 - 15:30
Intervalo
15:30 - 16:20
tba
tba
16:20 - 17:10
tba
tba
17:10 - 18:00
tba
tba
18:00 - 18:30
Encerramento do primeiro dia



Programa da Conferência - Dia 2 - 30 de outubro de 2009

08:30 - 09:00

Recepção

09:00 - 09:10
Abertura do segundo dia
09:10 - 10:40
Jason Li e Jerry Hoff (Aspect Security)
Agile and Secure: Can We Do Both?
10:40 - 11:00
Intervalo
11:00 - 12:00
Kuai Hinojosa (OWASP)
Deploying Secure Web Applications with OWASP Resources
12:00 - 13:30
Almoço
13:30 - 14:20
tba
tba
14:20 - 15:10
tba
tba
15:10 - 15:30
Intervalo
15:30 - 16:20
tba
tba
16:20 - 17:10
Luiz Otávio Duarte (CTI/MCT)
Abordagem Preventiva para Teste de Segurança em Aplicações Web
17:10 - 18:00
Philippe Sevestre (LeadComm)
Programação Segura Utilizando Análise Estática
18:00 - 18:30
Encerramento


Resumos das Palestras

The Building Security In Maturity Model (BSIMM)

Gary McGraw, Cigital

As a discipline, software security has made great progress over the last decade. There are now at least 34 large scale software security initiatives underway in enterprises including global financial services firms, independent software vendors, defense organizations, and other verticals. In 2008, Brian Chess, Sammy Migues and I interviewed the executives running nine initiatives using the twelve practices of the Software Security Framework as our guide. Those companies among the nine who graciously agreed to be identified include: Adobe, The Depository Trust and Clearing Corporation (DTCC), EMC, Google, Microsoft, QUALCOMM, and Wells Fargo. The resulting data, drawn from real programs at different levels of maturity was used to guide the construction of the Building Security In Maturity Model (BSIMM). This talk will describe the observation-based maturity model, drawing examples from many real software security programs. A maturity model is appropriate because improving software security almost always means changing the way an organization works ---people, process, and automation are all required. While not all organizations need to achieve the same security goals, all successful large scale software security initiatives share common ideas and approaches. Whether you rely on the Cigital Touchpoints, Microsoft's SDL, or OWASP CLASP, there is much to learn from practical experience. Use the BSIMM as a yardstick to determine where you stand and what kind of software security plan will work best for you.


Agile and Secure: Can We Do Both?

Jason Li and Jerry Hoff, Aspect Security

Agile is taking the software development world by storm, but security has been slow to adapt. What can we learn from the Agile movement? Is it possible to achieve security and remain Agile? Jason and Jerry will share Aspect Security's experiences working with Agile teams to gain assurance and save money. They'll compare and contrast traditional waterfall and agile processes and show how we can achieve assurance and security while remaining true to Agile principles


Deploying Secure Web Applications with OWASP Resources

Kuai Hinojosa, OWASP

Universities are key to making application security visible and the need to educate software developers about application security as an aspect of proper software development has never been more important. In this presentation I will share how OWASP resources can be used by universities to develop, test and deploy secure web applications. I will discuss challenges that Universities currently face integrating a pplication security best practices, describe how OWASP tools and resources are currently used at New York University to test for most common web application flaws. I will introduce projects such as the OWASP Enterprise Security API which can be used to mitigate most common flaws in web applications and share initiatives the OWASP Global Education Committee is currently working on. If you are interested in securing web applications, and supporting the OWASP Global Education Committee efforts you don't want to miss this!


Abordagem Preventiva para Teste de Segurança em Aplicações Web

Luiz Otávio Duarte

O objetivo da palestra é apresentar a abordagem utilizada pelo CTI/MCT (Centro de Tecnologia da Informação Renato Archer / Ministério da Ciência e Tecnologia) para testes de segurança em aplicações web. A apresentação está organizada da seguinte forma: Primeiramente, será apresentada uma introdução, incluindo conceitos importantes, motivação, dados estatísticos e vulnerabilidades mais críticas atualmente. Posteriormente, serão apresentadas técnicas para teste de software e técnicas para testes de segurança em software. Com a audiencia situada com relação aos conceitos e técnicas base, será apresentada a abordagem utilizada pela instituição para teste de segurança em aplicações web, tais como inspeção de código fonte, expressões regulares e técnicas de detecção de vulnerabilidades. Após apresentada a abordagem, pretende-se fazer uma breve demonstração prática. A apresentação será finalizada com conclusões e recomendações de melhores práticas para se trabalhar com teste de segurança em aplicações web.


Programação Segura utilizando Análise Estática

Philippe Sevestre

Criar um código que seja seguro requer mais do que apenas boas intenções. Os programadores precisam saber como fazer com que seu código seja seguro em um número quase infinito de cenários e configurações. A análise estática do código dá a seus usuários a habilidade de revisar o produto de seu trabalho com um pente-fino, revelando as falhas que conduzem diretamente a vulnerabilidades. Esta palestra contextualiza o problema de segurança de software e mostra como a análise stática é parte da solução do mesmo.


The Logic and Semantic Layer of Web Application Security

Thomas Schreiber

Testing Web Application Security mostly focusses on technical weaknesses only. But there is a huge field of potential weaknesses above the server layer and beyond the implementational aspects. Even if a web application is totally free from security bugs in code and system, it may still be vulnerable to dangerous threats. It is the kind how the business logic is mapped onto software, that gives an attacker a starting point for his bad intents. The presentation shows, illustrated with various real examples, how a clever hacker may reveal sensitive data  - including credit card data -, enter into user accounts or conduct a denial-of-service on the whole infrastructure - not only the server - by attacking the logical and semantical layers. The presentation also gives hints on how to avoid these pitfalls.

Mini-Cursos

Esta página lista os mini-cursos já aceitos e confirmados. As datas e períodos estão sujeitos a mudanças sem prévio aviso.


Gestão de Riscos de Segurança Aplicada a Web Services

José Eduardo Malta de Sá Brandão, IPEA

Data: 27/10 Período: manhã

O objetivo deste minicurso é apresentar a disciplina de gestão de riscos de segurança associada a web Services. O enfoque do curso visa elucidar aspectos conceituais e sistemáticos nestas metodologias, exemplificado em um estudo de caso que visa reforçar a utilidade e necessidade do uso destas metodologias para o entendimento e o desenvolvimento de web services. O curso deverá fornecer aos alunos base para desenvolverem seus próprios projetos de gestão de riscos. As apresentações deverão discorres sobre conceitos, descrição de modelos e na comparação dos principais padrões relacionados à gestão de riscos na segurança.


Segurança
 Web:
 Técnicas
 para
 Programação
 Segura
 de
 Aplicações

André Ricardo Abed Grégio, CTI/MCT

Data: 28/10 Período: tarde

O treinamento visa apresentar os princípios e técnicas de programação segura, principalmente programação de aplicações Web, abordando conceitos fundamentais da área, detalhando as vulnerabilidades possíveis de serem exploradas e com foco nos métodos de mitigação destas falhas. São abordados exemplos práticos de como corrigir vulnerabilidades baseadas no OWASP top 10 em diferentes linguagens de programação, com trechos de código vulnerável de aplicações Web retirados de revisões de código realizadas pelos autores. São apresentadas também algumas ferramentas para detecção de ataques e testes de vulnerabilidades em aplicações Web.


Segurança Computacional no Desenvolvimento de Web Services

Júlio Cesar Estrella et al, ICMC/USP

Data: 28/10 Período: integral (manhã e tarde)

Este minicurso apresenta o desenvolvimento de aplicações distribuídas utilizando o conceito de SOA levando em consideração os aspectos de segurança computacional. Para o desenvolvimento das aplicações clientes e servidoras serão considerados o uso da engine Apache Axis2. São abordados os componentes básicos do Axis2, os tipos e modelos de invocação de Web Services bem como suas principais características. Dois padrões de segurança para a construção de Web Services são abordadas no contexto da engine Apache Axis2: WS-Security e SAML. A metodologia utilizada para este minicurso envolve a utilização de tópicos expositivos e de exercícios práticos, abordando os conceitos fundamentais da engine Axis2, e a construção de aplicações reais com foco em segurança.

Informações Práticas

Local do evento

The Palácio do Congresso building

O evento será na Câmara dos Deputados em Brasília, DF, Brasil no endereço: Auditório Nereu Ramos, Câmara dos Deputados - Anexo II, Praça dos Três Poderes.

Veja a localização no Google Maps

Como chegar ao local da Conferência

A definir

Inscrições e Custos

A Conferência será gratuita, mas será necessário inscrever-se previamente. O procedimento de inscrição será definido oportunamente.

Organização

Comitês

OWASP Conferences Chair: Dave Wichers - Aspect Security - dave.wichers 'at' owasp.org

2009 AppSec Brasil - Comitê de Programa ([email protected]):

  • Coordenador Geral: Lucas C. Ferreira (lucas.ferreira at owasp.org)
  • Coordenador de Tutoriais: Eduardo V. C. Neves (eduardo.neves at owasp.org)
  • Coordenador do Programa: Wagner Elias (wagner.elias at owasp.org)

Equipe Organizadora

  • Cassio Goldschmidt (cassio 'at' owasp.org)
  • Kuai Hinojosa (kuai.hinojosa 'at' owasp.org)
  • Leonardo Cavallari - (leo.cavallari 'at' owasp.org)
  • Thiago Lechuga (thiagoalz 'at' gmail.com)
  • Dinis Cruz (dinis.cruz 'at' owasp.org)

Links

Página do evento no LinkedIn: http://events.linkedin.com/OWASP-AppSec-Brasil/pub/65160

Perguntas Frequentes

Quem está promovendo a conferência?

Esta conferência é promovida e organizada pela Comunidade TI-Controle e a Câmara dos Deputados, sendo os conteúdos (apresentações, palestras, cursos, etc) selecionados pelo Capítulo Brasil da OWASP.

Quanto irá custar?

Nada. Graças ao seu patrocinador, a participação da conferência será gratuita. No entanto, devido ao número limitados de participantes, recomenda-se registrar antecipadamente.

Chamada de Trabalhos

O que é a OWASP (Open Web Application Security Project)?

A OWASP (Projeto Aberto de Segurança de Aplicações Web, em português) é uma comunidade mundial aberta e livre focada em melhorar a segurança de aplicações. Nossa missão é tornar a segurança de aplicações visível, para que pessoas e organizações possam tomar decisões informadas sobre os reais riscos da segurança de aplicações. Todo mundo é livre para participar na OWASP e todo nosso material é disponível sob um licença de software livre e aberta. A Fundação OWASP é uma organização sem fins lucrativos que garante a constante disponibilidade e suporte para nosso trabalho com seu suporte.

Quantas sessões haverão?

Veja a agenda na página principal da conferência.

Quais são os prazos para submissão?

O prazo para submissão é 11 de Julho, sendo que a versão final dos trabalhos selecionados deve ser enviado até 15 de setembro de 2009.

Quem poderá submeter trabalhos?

Autores principais podem submeter seus trabalhos para avaliação. Representantes de terceiros, como empresas de relações públicas ou representantes de palestrantes, NÃO DEVEM submeter trabalhos em nome de um potencial palestrante.

Por que submissões de trbalhos por Representantes, como empresas de RP, não são permitidos?

Devido aos direitos autorais e responsabilidade com problemas de propriedade intelectual, bem como a necessidade da OWASP ter contato direto com os potenciais apresentadores para fornecer detalhes e providenciar os materiais, nós requeremos que apenas os autores principais submetam suas apresentações. Representantes de terceiros, como empresas de relações públicas ou representantes de palestrantes, NÃO DEVEM submeter trabalhos em nome de um potencial palestrante.

Existe alguma restrição no conteúdo das apresentações?

Sim, todas as apresentações devem respeitar as regras definidas no Acordo de Palestrantes da OWASP. Basicamente, as apresentações não devem possuir qualquer conteúdo promocional ou faça referência a marcas e produtos.

Quanto tempo eu terei que esperar antes de ser notificado se meu trabalho foi aceito ou negado?

Os autores serão notificados do resultado (aceito ou negado) em 7 de Agosto de 2009.

Existe algum honorário para os palestrantes?

Não. A OWASP é comprometida em tornar sua conferência para a maior audiência possível. Neste sentido, a OWASP manterá a entrada gratuita para a AppSec Brasil 2009 de forma a tornar a conferência acessível. Por conta disto, nós não somos capazes de oferecer gratificações mas recebemos nossos palestrantes como convidados para a conferência onde eles poderão interagir com outros profissionais de segurança. Nós iremos oferecer hospedagem e passagem aérea para um apresentador de cada tarabalho selecionado.

Eu fui aceito. Quais são os materiais que eu preciso depositar e quais são os prazos?

A lista a seguir apresenta os materiais que são requeridos para cada apresentação aceita. O não cumprimento na submissão desses materiais no prazo previamente determinado acarretará no cancelamento da aprovação do trabalho.

Eu preciso submeter um artigo?

Não. Nós certamente apreciamos todo artigo que possa ser incluído no website e CD da conferência, mas isto não é orbigatório. Se você tem um artigo escrito para acompanhar sua apresentação, por favor envie-nos junto com sua submissão. Submissões com artigos anexados recebrão considerações adicionais.

O que acontece caso eu tenha um co-autor que não está apresentando. Como eu referencio esta pessoa??

Todos os co-autores e trabalhos utilizados devem ser citados na bibliografia detalhada que será publicada no CD da conferência.

Eu fui aceito e gostaria de adicionar um co-apresentador. Eu ainda posso fazer isso?

Não. Co-apresentadores devem ser adicionados no momento em que a apresentação for submetida. Eles podem participar da conferência e apresentar, caso se registrem como qualquer outro participante.

Minha empresa de RP/amigos/família/amigos de trabalho gostariam de prestigiar minha apresentação. A presença deles será permitida gratuitamente??

Sim, mas eles precisam se registrar pelo site como todo outro participante.

Eu tenho outras dúvidas...

Envie um e-mail para [email protected]camara.gov.br a respeito deste evento.