Foi uma sessão muito descontraída, quase em ambiente de reunião, com uma participação muito interessante por parte dos assistentes, que suscitou algumas discussões muito interessantes e pertinentes.

Para não variar, aqui ficam igualmente as duas apresentações.

OWASP – Ferramentas

A próxima sessão de apresentação deverá decorrer em Lisboa, no ISCTE/IUL, em data a indicar posteriormente.

Como já tive oportunidade de indicar anteriormente, se acharem interessante organizar uma sessão destas nas vossas instituições, estejam à vontade para nos contactar. Dentro da medida da nossa disponibilidade, teremos todo o prazer em aceder, e ajudar a promover o OWASP, o nosso chapter nacional, os documentos e ferramentas OWASP.

Não é que foram a Madrid (ao Santiago Barnabéu), espetar 6 golos (o resultado final foi um estrondoso 2-6) ao Real da cidade? E a jogar e a marcar assim, na próxima quarta-feira o Chelsea que se cuide.

Este é um exemplo para o meu clube de Lisboa. Vejam como o Barcelona foi buscar um homem da casa, ex-jogador do Barça, para colocar as tropas na ordem, e meter a equipa a jogar um futebol completamente demolidor. É claro que o SL Benfica não tem as mesmas “armas” do Barcelona, mas poderia ser feita uma maior aposta na “prata da casa”.

Enfim… “Força Barça!!!”

E hoje, resolvi reviver um pouco melhor as minhas memórias de infância, deslocando-me (em conjunto com os meus pais, a minha esponja e os meus filhotes) para visitar um local chamado “Pego do Mourão”. O Pego do Mourão, não é mais do que um lago natural, formado por um riacho, que atravessa as diversas aldeias e lugares da região, que fica na base de uma cascata (queda) de água, com cerca de 10 a 15 metros de altura.

Chama-se o Pego do Mourão, porque fica situado precisamente num lugar que se designa por Mourão. É mesmo ao lado de Maceira, e pode-se ir até lá facilmente a pé. Era o sítio, onde em tempos volvidos, muitos dos jovens da região, aproveitavam para se refrescar nos dias mais quentes de Verão. Na altura não haviam piscinas, e a praia ainda era longe – para quem não tinha carro.

Também eu por lá andei, e até, involuntariamente acabei por tomar lá banho. Involuntariamente, porque numa das minhas aventuras de pequeno, ao atravessar o riacho, numa altura em que o caudal era significativamente maior, acabei por escorregar numa rocha e cair dentro do rio. Na altura não achei muita piada, pois o rio arrastava-me para a queda de água, e poderia ter tido consequências graves. Felizmente, e depois de alguma luta, lá consegui sair do rio, e a única consequência acabou por ser mesmo, a roupa e as botas completamente encharcadas. Enfim, hoje é apenas uma memória distante, que me faz sorrir a mim, e a quem eu conto esta história.

Pois bem, como vos disse no início, hoje voltei lá. Infelizmente, agora é bem mais difícil de ir lá. Os anos passaram, as pessoas deixaram de ir para lá, e a vegetação acabou por cobrir todos os carreiros que outrora serviam de passagem. Mas mesmo assim, e depois de alguma insistência, e algo risco, eu e o meu pai, acabamos por conseguir chegar lá.

View Pego do Mourão in a larger map

O lugar é incrível. A paisagem absolutamente arrebatadora. O riacho já leva pouca água, mas mesmo assim, a queda de água continua com o esplendor de outrora, assim como o lado natural que se forma na sua base. É um sitio formidável para tirar umas boas fotos. Podem dar uma vista de olhos ao álbum que está aqui no Flickr. Deixo aqui duas ou três fotos para vos aguçar o apetite.

Não posso igualmente deixar de fazer um apelo ao Sr. Presidente da Câmara Municipal de Sintra, assim como à Presidente da Junta de Freguesia de Montelavar, que olhem um pouco para este local, e que se possível o tornem um local mais acessível e visitável por parte de terceiros (embora se isto não for bem controlado possa servir para destruir a paisagem natural).

Quem pretender visitar este local, o mapa está acima. Mas fica desde já avisado que o acesso ao local não é fácil – tal como esta agora é necessário ir pelo próprio riacho, e isso só se consegue quando o mesmo tem pouca água. Mas para aqueles com espírito de aventura, garanto que vai valer a pena.

Ahhh, confesso que este regresso ao passado me soube bem! Muito bem mesmo!

Uma das tarefas que nos foram incumbidas, foi a selecção de alguns dos principais especialistas presentes no Summit, e gravar pequenos vídeos com eles sobre diversos aspectos do OWASP e de alguns dos ataques mais comuns na Web.

• Introdução ao OWASP
• Apresentação do OWASP Top Ten
• Apresentação do OWASP Enterprise Security API (ESA)
• SQL, XML e LDAP Injection
• Phishing
• Clickjacking.
  

Assim, e visto que hoje não houve tempo para mais, aqui ficam alguns dos vídeos (entretanto já carregados para o Youtube). Mais alguns vídeos estarão disponíveis posteriormente…

Introdução ao OWASP, by Jeff Williams

Apresentação do Top Ten, by Jeff Williams

OWASP Enterprise Security API (ESAPI), by Jeff Williams

(prometo que depois coloco aqui os vídeos mais interessantes – ou seja aqueles que demonstram os ataques)

Depois tivemos o David Meucci, da OWASP Itália, sobre o “OWASP Testing Guide – version 3”. Este é um dos projectos de documentação do OWASP, que serve para ajudar os programadores de aplicações web na realização de testes de segurança a essas mesmas aplicações. Esta nova versão do testing guide acrescenta mais algumas secções interessantes (nomeadamente de Configuration Management testing).

Eis a forma como testing guide está integrado no restante stack de documentação OWASP. As restantes apresentações percorreram um pouco a restante documentação deste stack.

A segunda apresentação da manhã (no track de Documentação) foi-nos trazida por Eoin Keary, sobre o trabalho realizado pelo OWASP no OWASP Code Review Guide. Este trabalho demonstra como integrar em diversas fases do Ciclo de Vida de Desenvolvimento de Software (Software Development Life Cycle – SLDC), um conjunto de boas práticas de análise de código, como uma forma de detectar problemas de segurança, e de os resolver o mais cedo possível no SLDC. Um dos aspectos importantes da qualidade final do produto desenvolvido (aplicação web, web-service, ou qualquer outra aplicação) é a segurança do mesmo. O OWASP tem alguns projectos a desenvolver algumas ferramentas que podem ser usadas para automatizar este processo de revisão de código.

De seguida, Leonardo Cavallari, do Brasil, fez uma apresentação sobre o Application Security Desk Reference (ASDR), que não é mais do que documentação de suporte a todos os outros projectos de documentação do OWASP, servindo como uma espécie de glossário inicial sobre os principais termos e problemas segurança que são cobertos pelo OWASP, e a ligação para documentação mais aprofundada sobre os mesmos.

Seguiu-se um aspecto aspecto muito importante para o OWASP Portugal – uma apresentação sobre o projecto de tradução da documentação OWASP para Espanhol. Este é um projecto importante para a OWASP Portugal, pois este pode (e provavelmente será) o primeiro tipo de contribuição que a OWASP Portugal poderá oferecer ao OWASP, a tradução de conteúdos OWASP para português. Este é um projecto que tem igualmente importância para os brasileiros que estão já muito activos nesta área, e inclusivé já arrancaram com alguma tradução. Penso que faz todo o sentido podermos juntar os esforços e podermos contribuir para essa mesma tradução – afinal de contas, o português é igualmente uma das línguas mais faladas a nível mundial.

A última sessão de apresentações matinal foi sobre um projecto OWASP que se chama .NET ESAPI (Enterprise Security API). Este projecto está a a desenvolver uma framework em .Net para o desenvolvimento seguro de aplicações em .Net.

Ainda antes do almoço (se é que lhe podemos chamar almoço, pois por aqui o pessoal não pára) ainda houve tempo para começar o working session sobre os diversos projectos de documentação e começar a trabalhar numa versão mais integrada dos mesmos. Pelo meio da sessão, o almoço, no modelo “Grab a sandwich and please go back to your session real fast!”.

Da parte da tarde, voltaram as sessões de treino. Duas sessões de treino muito interessantes:

1. The Art and Science of Threat Modeling Web Applications, onde se falou sobre um conjunto de boas práticas para avaliar e medir as ameaças que estão envolvidas na concepção de aplicações Web. Falou-se igualmente do modelo D.R.E.A.D. (Damage, Reproducibility, Exploitability, Affected Users, Discoverability) como uma boa forma de quantificação das ameaças.
2. Offensive WebApp Hacking (acho que o nome diz tudo), uma sessão prática em que foram demonstradas diversas técnicas que permitem comprometer a segurança das aplicações web.

No final do dia, nada melhor do que um jantar “a la OWASP”. Foram selecionados um conjunto de apartamentos, e encomendou-se a jantarada para o pessoal poder continuar a conversar e de certa forma a trabalhar para estabelecer uma boa rede de contactos e parcerias.

E este foi o dia de hoje. O de amanhã promete ainda mais.

O meu primeiro dia no OWASP Summit, foi essencialmente marcado por uma sessão de treino, dada por Mano Paul, sobre “WebSec Apps for Managers and Executives”. Esta apresentação (acção de formação) foi essencialmente interessante por dois aspectos principais:

1. Pelas dicas interessantes na apresentação do Mano Paul, sobre como “vender” a Segurança a gestores e a executivos. É óbvio que a expressão “vender” não é a mais adequada nem a mais correcta, mas sim a forma de conseguir passar a mensagem e a necessidade de segurança (especialmente do ponto de vista aplicacional) na organização e nos sistemas e aplicações da mesma;
2. O segundo aspecto interessante desta apresentação foi igualmente a comparação estabelecida entre a forma como  os organismos naturais (existentes na própria Natureza) actuam e a comparação com alguns princípios básicos de segurança, e como os mesmos podem beneficiar do estudo do comportamento destes mesmos organismos. Estes conceitos são de facto muito importantes e podem ser aprofundados no livro “Natural Security” da autoria de Raphael Segarin.

A finalizar o dia de hoje, Dinis Cruz, Chief OWASP Evangelist, fez uma apresentação sobre como iria ser os restantes dias do evento, das alterações/ajustamentos que foram realizados à agenda, e fez a apresentação pública e o agradecimento a todos os elementos que participaram na organização do mesmo.

Aqui ficam algumas fotos deste primeiro dia do evento (lamento a má qualidade das mesmas, o telemóvel não dá para mais).

Como reesponsável pelo Charter português da OWASP, não poderia deixar de estar presente, e vou procurar manter-vos actualizados sobre o que se estiver a passar de mais relevante no Summit. Em breve a OWASP Portugal irá dar notícias sobre a organização de uma reunião interna da OWASP, para qual estão desde já todos convidados.

Entretanto aproveito para chamar a vossa atenção para um conjunto de condições especiais criado pela OWASP a pensar em estudantes, e que lhes vai permitir ter acesso ao pack de formação e à conferência a um preço bastante mais atractivo.

Vou dando notícias.

Isto começa a parecer um “déjà vu“. De cada vez que chove em Portugal, é o caos. E de quem é a culpa? Da chuva? Não me parece meus amigos… não me parece…

Perguntem aos vossos pais e aos vossos avós, como eram os Invernos passado. E depois comparem com os actuais Invernos. Todas essas pessoas vos dirão que os Invernos anteriormente eram muito mais rigorosos, e que choviam durante diversos meses, e com bastante intensidade. E havia este caos? Havia? Não havia não…

É óbvio que havia menos pessoas, menos carros, menos estradas, menos construção. Mas comparem também o nosso país e o nosso clima com países em que o clima é bastante mais rigoroso. E não vemos o mesmo caos. Claro que as alterações climáticas têm a sua quota parte de culpa, pois estamos com um clima mais instável, e com períodos de chuva mais curtos mas mais intensos…

Mas e depois… o que dizer da forma como as nossas estradas, túneis, caminhos de ferro, condutas, entre outros, estão construídos, planeados e mantidos? Apenas uma palavra… VERGONHA.

Agora basta chover um pouco e temos estradas alagadas, túneis alagados, caminhos de ferro cortados, condutas de esgotos e de gás completamente cortados e alagados, enfim completamente caótico.

E que tal olhar para todos esses erros de concepção, e vermos o que alguns “engonheiros” e construtores andam para aí a construir… poupam dinheiro ao não fazer as obras com as condições de segurança necessárias, para pouparem dinheiro. E depois todos custos das obras “derrapam”…

E que tal limparem igualmente as sarjetas? E verificarem o escoamento de águas? E verificarem onde constroem as coisas?

E a culpa é de quem? De ninguém, claro está!!! A culpa morre sempre solteira em Portugal… pelo menos nestes casos.

Feriados 20085 Fev, 3ª (4 dias)
21 Março, 6ª (3 dias)
25 Abril, 6ª (3 dias)
1 Maio, 5ª (4 dias)
22 Maio, 5ª (4 dias)
10 Junho, 3ª (4 dias)
13 Junho, 6ª (3 dias)
15 Agosto, 6ª (3 dias)
1 Dez, 2ª (3 dias)
8 Dez, 2ª (3 dias)
total: 34 dias

+ 25 dias de férias
+ 84 dias de fim de semana

TOTAL GERAL : 143 dias de intenso trabalho!
Dado que 2008 é bissexto vai-se poder felizmente descansar mais um diazito na cadeirinha, num total de 366 . Não é mau!!
366-143= 223 dias de trabalho, para 143 de lazer.