Basicamente a nossa posição é muito simples… o mercado de desenvolvimento de aplicações de software software, não tem em linha de conta as preocupações de segurança, o que acaba por provocar que as aplicações lançadas no mercado, não oferecem todas as garantias de segurança necessárias.

Isto acaba por ser mais problemático para as PME que não têm a capacidade quer interna, quer externamente de poderem assegurar-se das condições de segurança das aplicações e sistemas que usam no seu dia a dia, nem conseguem tomar decisões nesse sentido aquando da aquisição desses mesmos sistemas.

Por outro lado, a entrevista acaba por focar outro factor importante que tem que ver com a falta de formação disponível, que prepare programadores e engenheiros de software para o desenvolvimento de aplicações com segurança. Estes não os únicos motivos, mas são os únicos que foram considerados aquando da elaboração do artigo por parte da revista.

De qualquer é uma leitura interessante. Podem encontrar o artigo on-line aqui.

Esta lista pode ser consultada directamente a partir do seu blog.

A conferência contou com a presença de um alargado número de researchers e de participantes da indústria, a IBWAS’09 foi um sucesso!

A IBWAS’09 teve a presença de um conjunto de speakers de qualidade (nos quais se destaca a presença de Bruce Schneier, um dos maiores gurus mundiais em Segurança de Informação), que se organizaram em diversos painéis de científicos, de indústria e de keynotes.

No final da conferência foi ainda organizado um painel de discussão em que foram elaboradas um conjunto de recomendações a adoptar pelos governos mundiais em 2010.

Para o ano há mais… e já se prepara a IBWAS’10. A não perder.

First Iberic Conference on Web-Applications Security (IBWAS’09)
Escuela Universitaria de Ingeniería Técnica de Telecomunicacíon – Universidad Politécnica de Madrid
10th – 11th December 2009
Madrid, Spain
http://www.ibwas.com, http://www.owasp.org/index.php/OWASP_AppSec_Iberia_2009
[organised by OWASP Spain and OWASP Portugal]

There is a change in the information systems development paradigm. The emergence of Web 2.0 technologies led to the extensive deployment and use of web-based applications and web services as a way to developed new and flexible information systems. Such systems are easy to develop, deploy and maintain and demonstrate impressive features for users, resulting in their current wide use.

As a result of this paradigm shift, the security requirements have also changed. These web-based information systems have different security requirements, when compared to traditional systems. Important security issues have been found and privacy concerns have also been raised recently. In addition, the emerging Cloud Computing paradigm promises even greater flexibility; however corresponding security and privacy issues still need to be examined. The security environment should involve not only the surrounding environment but also the application core.

This conference will bring together application security experts, researchers, educators and practitioners from the industry, academia and international communities such as OWASP, in order to discuss open problems and new solutions in application security. In the context of this track academic researchers will be able to combine interesting results with the experience of practitioners and software engineers.

Conference proceedings will be published by Springer in the “Communications in Computer and Information Science” (CCIS) series.

Keynote Speakers
—————-
* Bruce Schneier, acclaimed security guru, author, BT CSTO (confirmed)
* Inspector Jorge Martín from the High Tech Crime Unit of the Spanish National Police (confirmed)

Speakers
——–
* Justin Clarke, Gotham Digital Science
* Dinis Cruz, OWASP
* Luis Corrons, Panda Security
* Marc Chisinevski, OWASP
* Simon Roses, Microsoft
* Dave Harper, Fortify Software
* Raul Siles, Taddong
* Miguel Almeida, Independent Security Consultant
* Daniele Catteddu, ENISA
* Kuai Hinojosa, OWASP
* Fabio E Cerullo, OWASP
* Paulo Querido, Publico/Expresso
* Martin Knobloch, OWASP
* Javier Fernández-Sanguino, University Rey Juan Carlos

Agenda
——
The agenda can be found in the following locations:
http://www.ibwas.com/site/programme.html
http://www.owasp.org/index.php/OWASP_AppSec_Iberia_2009#tab=Agenda.2FSchedule

Who should attend?
——————
- Academics
- Researchers
- Lifelong learning educators
- Technical staff
- Secondary, vocational, or tertiary educators
- Professionals from the private and public sector
- Technologists and Scientifics
- School counsellors, principals and teachers
- Education policy development representatives
- General personnel from vocational sectors
- Student counsellors
- Career/employment officers
- Education advisers
- Student Unions
- Bridging program lecturers & support staff
- Library personnel
- International support and services staff
- Open learning specialists
- Application Developers
- Application Testers and Quality Assurance
- Application Project Management and Staff
- Chief Information Officers, Chief Information Security Officers, Chief Technology Officers, Deputies, Associates and Staff
- Chief Financial Officers, Auditors, and Staff Responsible for IT Security Oversight and Compliance
- Security Managers and Staff
- Executives, Managers, and Staff Responsible for IT Security Governance
- IT Professionals Interesting in Improving IT Security
…and any person interested in Web Application and Services Security and Information Security in general.

Conference Topics
—————–
• Secure application development
• Security of service oriented architectures
• Security of development frameworks
• Threat modelling of web applications
• Cloud computing security
• Web applications vulnerabilities and analysis (code review, pen-test, static analysis etc.)
• Metrics for application security
• Countermeasures for web application vulnerabilities
• Secure coding techniques
• Platform or language security features that help secure web applications
• Secure database usage in web applications
• Access control in web applications
• Web services security
• Browser security
• Privacy in web applications
• Standards, certifications and security evaluation criteria for web applications
• Application security awareness and education
• Security for the mobile web
• Attacks and Vulnerability Exploitation

Web-site
http://www.ibwas.com
http://www.owasp.org/index.php/OWASP_AppSec_Iberia_2009

Secretariat
E-mail: secretariat@ibwas.com

O email é falso!!! Trata-se de uma mensagem falsa e que visa realizar ataques de phishing contra os utilizadores mais incautos. A própria PSP já vei desmentir que use o email para realizar quaisquer tipo de diligências semelhantes às que se refere o email.

• eliminar o email
  
• evitar abrir o email ou carregar nalgum dos seus links
  
• ter as ferramentas anti-virus e anti-spam devidamente actualizadas
  
• em caso de dúvida, não arrisque, nunca!
  

Numa altura em que tanto se fala na (in)segurança dos sistemas de informação da Administração Pública, em particular dos da Presidência da República, não seria este um exemplo a seguir (embora adaptando as necessidades à dimensão e realidade nacional) em Portugal?

A Google estava a “mapear” a ponte 25 de Abril, para o Google Maps e para o Street View.

Espero não ter ficado em nenhuma das fotos.

Foi uma sessão muito descontraída, quase em ambiente de reunião, com uma participação muito interessante por parte dos assistentes, que suscitou algumas discussões muito interessantes e pertinentes.

Para não variar, aqui ficam igualmente as duas apresentações.

OWASP – Ferramentas

A próxima sessão de apresentação deverá decorrer em Lisboa, no ISCTE/IUL, em data a indicar posteriormente.

Como já tive oportunidade de indicar anteriormente, se acharem interessante organizar uma sessão destas nas vossas instituições, estejam à vontade para nos contactar. Dentro da medida da nossa disponibilidade, teremos todo o prazer em aceder, e ajudar a promover o OWASP, o nosso chapter nacional, os documentos e ferramentas OWASP.