segunda-feira, julho 26, 2010

Chamada de trabalhos – OWASP AppSec Brasil 2010

Começou o Call for Papers do OWASP AppSec Brasil 2010, veja abaixo a reprodução da chamada em português.

APPSEC BRASIL 2010

CHAMADA DE TRABALHOS

O OWASP (Open Web Application Security Project) solicita propostas de apresentações para a conferência AppSec Brasil 2010, que ocorrerá na Fundação CPqD em Campinas, SP, de 16 a 19 de novembro de 2010. Haverá mini-cursos nos dias 16 e 17, seguidos de sessões plenárias de trilha única nos dias 18 e 19 de novembro de 2010.

Buscamos pessoas e organizações que queiram ministrar palestras sobre segurança de aplicações. Em particular destacamos os seguintes tópicos de interesse:

* Modelagem de ameaças em aplicações (Application Threat Modeling)
* Riscos de Negócio em Segurança de aplicações (Business Risks with Application Security)
* Aplicações de Revisões de Código (Hands-on Source Code Review)
* Métricas Aplicadas a Segurança de Aplicações (Metrics for Application Security)
* Ferramentas e Projetos do OWASP (OWASP Tools and Projects)
* Tópicos de Privacidade em Aplicações e Armazenamento de Dados (Privacy Concerns with Applications and Data Storage)
* Práticas de Programação Segura (Secure Coding Practices)
* Programas de Segurança para todo o Ciclo de Vida de aplicações
* (Secure Development Lifecycle Programs)
* Tópicos de Segurança para tecnologias específicas (AJAX, XML, Flash, etc) (Technology specific presentations on security such as AJAX, XML, etc)
* Controles de Segurança para aplicações Web (Web Application Security countermeasures)
* Testes de Segurança de aplicações Web (Web Application Security Testing)
* Segurança de Web Services ou XML (Web Services, XML and Application Security)

A lista de tópicos não é exaustiva; outros tópicos podem ser abordados, desde que em consonância com o tema central do evento.

Para submeter uma proposta, preencha o formulário disponível em http://www.owasp.org/images/6/68/OWASP_AppSec_Brasil_2010_CFP%28pt-br%29.rtf.zip, que deve ser enviado através da página da conferência no site Easychair: http://www.easychair.org/conferences/?conf=appsecbr2010

Cada apresentação terá 45 minutos de duração, seguidos de 10 minutos para perguntas da platéia. Todas as apresentações deverão estar em conformidade com as regras definidas pelo OWASP em seu “Speaker Agreement”.

Datas importantes:

* A data limite para apresentação de propostas é 17 de agosto de 2010 às 23:59, horário de Brasília.
* A notificação de aceitação ocorrerá até o dia 8 de setembro de 2010.
* A versão final das apresentações deverá ser enviada até o dia 30 de setembro de 2010.

A comissão organizadora da conferência pode ser contactada pelo e-mail: organizacao2010@appsecbrasil.org

Para mais informações, favor consultar as seguintes páginas:

* Página da conferência: http://www.owasp.org/index.php/AppSec_Brasil_2010_(pt-br)
* OWASP Speaker Agreement (em inglês): http://www.owasp.org/index.php/Speaker_Agreement
* Página do OWASP: http://www.owasp.org
* Página da conferência no Easychair: http://www.easychair.org/conferences/?conf=appsecbr2010
* Formulário para apresentação de propostas: http://www.owasp.org/images/f/f7/OWASP_AppSec_Brasil_2010_CFP.rtf.zip

ATENÇÃO: Não serão aceitas propostas sem TODAS as informações solicitadas no formulário

Favor divulgar a todos os possíveis interessados.

Post descaradamente copiado do Wagner Elias.

quarta-feira, julho 21, 2010

Back to Apple

É, não resisti. Depois de tanto me falarem bem, acabei adquirindo um MacBook Pro 2010.

Mas minha história com a Apple não é recente. Na verdade, o primeiro computador que usei era clone do Apple ][, e isso aconteceu em 1989. Imagine usar um computador que foi criado em 1977 somente doze anos depois no Brasil. Essa era a reserva de mercado de informática da época, com o pretexto de desenvolver a indústria nacional. Desenvolveu sim, a industria da pirataria e clones através de engenharia reversa, como foi o caso de TK3000.



Já bem mais tarde, em 2005, a Apple muda o seu sistema para rodar em plataformas Intel ao invés de plataformas PowerPC. E surgem os primeiros Hackintosh, que consistiam em guias para instalar (de forma não autorizada pela Apple) o MacOSX em PCs comuns, de acordo com alguns requisitos. Cheguei a testar isso em um Pentium 4 em 2005. Cinco anos depois, estou aqui de volta a Apple, usando o MacOS X Snow Leopard em um MacBook Pro. Mas porque, você pode perguntar.




Já reparava em alguns eventos, que muita gente estava utilizando Macs. Perguntei para alguns amigos também que atuam na área de segurança, e percebi que a MAIORIA estava usando Mac. As razões vão desde razões técnicas, até emocionais. Ou então razões elitistas, diriam alguns.

Na verdade eu não reparei esse fato sozinho. o Paul Graham também escreveu sobre isso, anos atrás:

"All the best hackers I know are gradually switching to Macs. My friend Robert said his whole research group at MIT recently bought themselves Powerbooks. These guys are not the graphic designers and grandmas who were buying Macs at Apple's low point in the mid 1990s. They're about as hardcore OS hackers as you can get.

The reason, of course, is OS X. Powerbooks are beautifully designed and run FreeBSD. What more do you need to know?˜"


Realmente o fato do Mac vir com o FreeBSD (na verdade o Darwin) te dá o poder de ter um desktop funcional, estável, bonito, seguro e confiável, e além de tudo, você pode instalar vários pacotes de código aberto utilizando o MacPorts ou o Fink, como se fosse um Unix (Linux) comum.

Que tal ter todo esse poder em um desktop que você não precisa mais se preocupar se a sua placa de vídeo tem driver nativo ou não? Ou se preocupar de na hora de ligar o notebook em um projetor, não ter que cumprir todo um ritual para configurar para que sua imagem seja projetada?

Sim, existe a questão moral do software livre. Eu ainda uso Linux. Virtualizado no meu desktop ou em servidores, onde não existem as preocupações citadas acima. E chega um momento que você quer simplesmente trabalhar na máquina, não ficar procurando receitas na internet para fazer funcionar algum dispositivo que não funciona bem em seu desktop. Eu ainda uso software livre. Apenas não tenho mais tempo ou motivação para fazer algumas coisas em meu desktop.

Se eu recomendo o Mac? Ainda é cedo pra dizer. Por enquanto a experiência está sendo boa, tudo é muito simples e existe uma infindade de softwares livres para a plataforma. Estou ainda aprendendo, e sempre aprendemos mais quando abrimos a cabeça para novas experiências.

quarta-feira, julho 14, 2010

Dilbert + Segurança

Coletânea das melhores tirinhas do Dilbert que abordam segurança da informação:

Dilbert.com

Dilbert.com

Dilbert.com

Dilbert.com

Dilbert.com

Dilbert.com

Dilbert.com

Dilbert.com

segunda-feira, julho 05, 2010

SELinux no FISL 11



Vão acontecer duas palestras sobre SELinux no Fórum Internacional de Software Livre 11 - FISL 11:


- Criando uma política no SELinux em 50 minutos - com Douglas Schilling Landgraf e Marcelo Moreira de Mello, ambos funcionários da Red Hat.
Resumo: SELinux para muitos administradores pode ser um assunto compplexo, se tornando sinônimo de preocupações e aborrecimentos. Por que não entender o funcionamento do SELinux e aproveitarmos todas as características de segurança que esse subsistema oferece?!?! Entenda como podemos criar uma política no SELinux de maneira prática e funcional e também estendê-la para as demais aplicações no sistema.


- SELinux: como tornar um servidor seguro - com Alex Sander de Oliveira Toledo.
Resumo: Este trabalho é resultado de pesquisa monográfica no ano de 2009. A proposta é demonstrar os sistemas de controle de acesso incorporados ao kernel do Linux e, também, o nível de gerenciamento das políticas de acesso do SELinux, as ferramentas para gerenciamento das políticas mandatórias do SELinux, bem como o nível de dificuldade de implementar o SELinux, através da identificação de fatores que dificultam a implantação de segurança em servidores e das melhores práticas metodológicas.