terça-feira, 24 de julho de 2012

OWASP Brasília


Há quase 1 ano, registrei neste post as minhas impressões sobre a realidade da segurança de aplicações na perspectiva da conscientização do desenvolvedor no mercado de Brasília. Na ocasião, em mais de 180 desenvolvedores treinados em segurança de software, NENHUM havia ouvido falar na OWASP, e alguns tinham visto o termo XSS em alguma manchete de TI.

Na oportunidade, joguei luz sobre algumas questões inerentes a liderança de um Capítulo da OWASP que poderiam não estar na ordem do dia de algum líder.

Infelizmente neste ano que se passou, nada mudou na condução do Capítulo Brasília da OWASP, apesar de ter havido nesse ínterim a mudança da liderança. Muito provavelmente, os desenvolvedores continuam ignorando a existência da OWASP, bem como das técnicas que poderiam impor mais dificuldade aos atacantes aí fora.

Convictos dessa realidade adversa e dos desafios para liderar um Capítulo da OWASP e disseminar a segurança de aplicação, resolvemos (@Klaubert, @Br3n0S1lv4, @DiogoRispoli e eu) reativar o Capítulo Brasília.

Compartilho com vocês essa novidade e peço a sua ajuda para disseminar a segurança de aplicação na capital federal. 

Como você pode ajudar? Sua organização possui equipe de desenvolvimento de software? Organize um evento interno ou externo que trate do tema segurança de aplicação. A OWASP Brasília levará o palestrante. Segue uma lista de palestras pré-definidas para facilitar.

### Palestras ###

OWASP Top 10
O OWASP Top 10 é um projeto desenvolvido pela OWASP com o objetivo de disseminar o conhecimento sobre os 10 maiores riscos de segurança que as aplicações web estão suscetíveis. Nesta palestra apresentaremos a metodologia usada para classificar tais riscos, os detalhes relativos aos 10 maiores riscos e suas vulnerabilidades e os respectivos controles para dificultar a sua exploração.

Codificação Defensiva
Seria impossível ensinar para um motorista todas as possibilidades de acidentes que ele poderia vivenciar antes dele assumir o volante pela primeira vez, dado a infinita combinação de cenários que poderiam decorrer em um sinistro. Apesar disso, uma abordagem bastante usada é a direção defensiva, pela qual o motorista aprenda técnicas curinga que poderiam ser aplicadas a um conjunto de situações de risco. A codificação defensiva, tema desta palestra, se baseia no mesmo princípio, preparando o desenvolvedor para instrumentar seu código para que a aplicação esteja preparada para se defender de diversos riscos, mesmo que o desenvolvedor não tenha o conhecimento detalhado sobre cada um deles.

OpenSAMM
Como nenhuma organização tem recursos ilimitados para investir em segurança de aplicações, necessariamente ela necessitará priorizar as ações que lhe deem o maior retorno. Esta palestra apresenta o modelo OpenSAMM, cujo objetivo é auxiliar as organizações a estruturar um programa de melhoria contínua do SDLC (ciclo de vida de desenvolvimento de software) para incorporar práticas de segurança mais apropriadas, considerando as suas particularidades.

ModSecurity: Firewall OpenSource para Aplicações Web (WAF)
Com a crescente complexidade e importância das aplicações web, prazos curtos para desenvolvimento, novas técnicas de ataque, regulações, busca por melhores práticas e a falta de atenção e/ou foco do desenvolvedor com a segurança, torna-se necessário adicionar uma nova camada de segurança para aplicações web, os "firewall de aplicações web" ou WAF's. Esta apresentação introduzirá os conceitos de WAF, e em especial o ModSecurity, Firewall OpenSource para Aplicações Web, uma poderosa ferramenta desenhada para entender e proteger as aplicações web nos seus mais variados tipos. Serão apresentadas suas funcionalidades, bem como ele pode ajudar no dia a dia de um site web, seja na monitoração, proteção ou mesmo na depuração das aplicações web. Também será apresentada o WAF-FLE, console open source para visualização de eventos para o ModSecurity

Usando protocol Hmac-Based para reduzir superfície de ataque.
Proteger uma aplicação web é uma tarefa que envolve uma estratégia de defesa em profundidade. Aplicações web possuem características como sua grande superfície de ataque, que favorecem os atacantes. Reduzir essa superfície não é uma tarefa fácil, porém importante para aumentar o nível de segurança desse tipo de aplicação. Nesta apresentação será descrito um protocolo baseado em um algoritmo criptográfico chamado HMAC que pode ser utilizado para proteger e reduzir significativamente a superfície de ataque de aplicações web, sem a necessidade de modificá-las. Durante a apresentação serão realizadas demonstrações de uma implementação do palestrante, open source e publicamente disponível.