• As fotos estão disponíveis em nossa galeria do Flickr.
• Posts sobre as ferramentas técnicas estão sendo publicados no blog do nosso Gerente de Pesquisa e Desenvolvimento, Wagner Elias.
• Nosso Gerente de Operações, Eduardo Neves, foi eleito membro do Global Education Committee, onde irá trabalhar para promover e desenvolver o OWASP junto às instituições de ensino da América Latina. Updates dessa iniciativa em seu blog pessoal.
  

De forma simplificada, o Conviso Security Web SaaS permite que o cliente contrate uma análise de vulnerabilidades em suas Aplicações Web em quatro etapas muito simples e que podem ser concluídas em poucas horas:

Passo 1: Definição do Escopo

O cliente acessa a console de administração do Conviso Security SaaS e informa qual URL deverá ser analisada. Em seguida, define qual política de testes será aplicada, onde a ferramenta testa as vulnerabilidades de acordo com os padrões de segurança definidos por listas públicas como o OWASP Top 10, requerimentos de mercado como o PCI Data Security Standard ou cria sua própria política escolhendo entre os mais de 40 testes possíveis.

Passo 2: Modelo de Agendamento

Com o escopo da análise definido, pode-se configurar a periodicidade e a janela de tempo nas quais os testes serão executados. Além das opções pré-existentes, é possível definir sempre o horário de testes mais adequado, de acordo com o pico de uso da Aplicação Web.
Essa escolha permite que os resultados sejam eficazes mesmo sem interromper os processos de negócio da empresa.

Passo 3: Configuração de Alertas

A última etapa da parametrização do Conviso Security Web SaaS é definir quais alertas serão apresentados e em que periodicidade. As opções apresentadas permitem escolher a emissão de alertas toda vez que uma vulnerabilidade for encontrada, ou apenas para as altas.
Nas duas opções, as recomendações de melhoria podem acompanhar cada ponto identificado, permitindo que as correções sejam executadas imediatamente.

Passo 4: Conclusão da Parametrização

Com os três passos anteriores completados, o processo de análise de vulnerabilidades da Aplicação Web pode ser iniciado à qualquer instante. O Conviso Security SaaS conta com uma console de administração simplificada, na qual o administrador tem acesso a todas as configurações do produto e pode acompanhar em tempo real os testes.

Ficou curioso de saber como funciona? Dê uma olhada na descrição do produto, por um preço altamente competitivo, a sua empresa poderá saber imediatamente quais vulnerabilidades existem em suas Aplicações Web e quais medidas corretivas são necessárias, além de poder manter uma linha que apresenta o grau de maturidade do nível de proteção atingido.

São Paulo, 25 de agosto de 2008

A Conviso IT Security anuncia que irá participar do evento Hackers to Hackers Conference (H2HC) 2008, apresentando a palestra “Extreme Web Hacking”, que será ministrada pelo nosso Gerente de Pesquisa e Desenvolvimento, Wagner Elias.

A palestra irá abordar técnicas de exploração em Aplicações Web, onde serão apresentados testes que vão além de vulnerabilidades como SQL Injection e XSS (Cross Site Scripting), e englobam recursos não tão comentados como AJAX (Asynchronous Javascript And XML), JSON (JavaScript Object Notation) e XML-RPC (XML Remote Procedure Calling).

Sobre o H2HC 2008

Hackers To Hackers Conference (H2HC) é uma conferência organizada por pessoas que trabalham ou que estão diretamente envolvidas com pesquisas e desenvolvimento na área de segurança da informação, cujo principal objetivo é permitir a disseminação, discussão e a troca de conhecimento sobre segurança da informação entre os participantes e também entre as empresas envolvidas no evento.

Sobre a Conviso IT Security

O fundamental papel que a tecnologia assumiu em nossa sociedade gera novos desafios para os profissionais que buscam manter a confidencialidade, integridade e disponibilidade dos dados e informações dentro de níveis aceitáveis.

A Conviso IT Security tem como objetivo contribuir neste cenário, atuando como fornecedora de serviços de análise de vulnerabilidades e adequação de segurança para os componentes da infra-estrutura de TI.

Segurança em Desenvolvimento de Software
Palestra realizada na UNIFRAN em Franca, São Paulo, SP, no dia 21/10/08.

Testes de Segurança de Software
Palestra apresentada durante o Microsoft Tech Ed em São Paulo, SP no dia 14/10/08.

A Segurança Técnica como Base para os Processos de Gestão de Riscos
Apresentação feita para o Grupo de Interesse em Segurança da Informação da SUCESU-PR em Curitiba, Paraná, no dia 07/10/08.

A primeira vez que ouvimos falar do Slide Share, foi através do blog "How to Change the World", mantido pelo autor, empreendedor e eterno Apple Evangelist Guy Kawasaki. Achamos a proposta muito boa, e agora a Conviso IT Security passou a usar este recurso para disponibilizar suas apresentações para os clientes e a comunidade brasileira de Segurança da Informação.

Dê uma olhada no nosso espaço por lá, e inscreva-se no RSS para saber de nossas atualizações, nada mais simples do que a comodidade, não? 

Os passaportes estão à venda, e participar é uma grande chance de falar com um público interessado, assistir palestras com pessoas de renome do Brasil e exterior e conhecer o que o mercado está fazendo e planejando.

OWASP EU Summit Portugal

3-7 de novembro, Algarve, Portugal

As informações em formato digital são cada vez mais um ativo valioso para empresas, organizações e Governos, e manter o nível adequado de proteção em seu uso é cada vez mais uma estratégia fundamental para garantir o funcionamento dos processos que geram negócios, serviços e relacionamentos em todo o mundo. As ameaças a estas informações evoluem a cada dia e conseguem burlar os mecanismos tradicionais de proteção (como firewalls), atacando diretamente as aplicações e dados . As aplicações (em particular as aplicações Web) tornaram-se uma parte integrante do perímetro de segurança das organizações e devem ser protegidas como um de seus ativos mais valiosos. O Open Web Application Security Project (OWASP) é uma organização que trabalha no sentido de contribuir para a melhoria significativa da segurança dessas aplicações.

Entre os dias 3 e 7 de novembro, será apresentado o OWASP Summit EU 2008. Será a primeira vez que a OWASP realiza uma reunião desse porte em Portugal, reunindo especialistas de todo o mundo na área da Segurança de Informação. A OWASP é líder mundial em termos de segurança de aplicações e concedeu recentemente bolsas e patrocínios no valor de US$ 250,000 para projetos de investigação e desenvolvimento nesta área.

Ao longo destes quatro dias no Algarve, o OWASP Summit EU 2008 irá reunir líderes internacionais da OWASP, assim como importantes parceiros de indústria que irão apresentar e discutir as mais recentes ferramentas e documentos desenvolvidos pela OWASP. Serão realizadas mais de 40 apresentações de líderes de projetos patrocinados pelo OWASP na área de pesquisa de segurança para aplicações Web, e múltiplas sessões de trabalho especificamente concebidas para dinamizar a colaboração, atingir e traçar novos objetivos para os projetos futuros, representações locais e para toda a comunidade OWASP.

O OWASP Summit EU 2008 será composto por sessões técnicas e de negócio, sendo o evento ideal para aprender mais sobre os múltiplos recursos que são disponibilizados de forma gratuita. O evento oferecerá igualmente cursos livres que Irão abranger diversos tópicos específicos da OWASP e da Segurança de
Aplicações Web:

• Projetos: Os projetos selecionados para apresentação no evento incluem as novas documentações, iniciativas e ferramentas inovadoras que ajudam programadores e arquitetos de segurança na implementação do nível adequado de proteção em seus negócios.
• Sessões de Trabalho: Contando com a presença de diversos parceiros da segurança de aplicações, estas Sessões de Trabalho irão abranger um leque variado de tópicos, tais como o Top 10 do OWASP para 2009, Segurança em Browsers, Pacotes de Segurança para Aplicações Web e diversos projetos de documentações, ferramentas e iniciativas educacionais do OWASP.
• Formação: Durante o evento serão ministrados cursos de formação com a duração de 1 dia, 1 dia e meio e 2 dias, em diversas áreas específicas do OWASP assim como relacionadas com tópicos de Segurança de Aplicações Web: Top 10 da OWASP – O que os programadores devem saber sobre Segurança de Aplicações Web; Programação Segura com Java; Construção de Rich Internet Applications Seguras, Segurança em Ajax, dentre outros.

Para mais informações sobre o programa da OWASP Summit EU 2008, assim como outras informações relacionadas com o evento, olhe em http://www.owasp.org/index.php/OWASP_EU_Summit_2008.  

Sobre a OWASP

O OWASP (Open Web Application Security Project) é uma comunidade aberta dedicada a ajudar as organizações a desenvolverem, comprarem, e a manterem aplicações que podem ser confiáveis. Todas as ferramentas, documentos, fóruns e delegações são livres e abertos para todas as pessoas interessadas em trabalhar com segurança de aplicações.

A Fundação OWASP é uma entidade sem fins lucrativos que assegura o sucesso dos projetos OWASP a longo prazo. O OWASP promove uma série de comunidades locais, sendo que no Brasil possui igualmente uma comunidade local de interesse no OWASP. Para mais informações sobre o OWASP e os seus projetos: http://www.owasp.org. 

Técnicas de Segurança no Desenvolvimento de Sistemas em Java

São Paulo: 10 e 11 de novembro
Brasília: 13 e 14 de novembro

Instrutor: Lucas de Carvalho Ferreira

Profissional com mais de 10 anos de experiência em segurança da informação, tendo atuado em grandes instituições públicas e privadas. Possui ampla formação acadêmica, com mestrado em Segurança da Informação pela Universidade de Campinas (Unicamp) e artigos publicados no Brasil e no exterior.

Maiores informações em nosso web site

A conferência OWASP EU Summit 2008 é uma fonte de informações de alta qualidade procurada por líderes na comunidade mundial de Segurança da Informação. Executivos de empresas Fortune 500, arquitetos de segurança e desenvolvedores irão viajar até Portugal em novembro para ouvir o que está acontecendo e como será o futuro deste mercado.

Estamos estruturando a agenda de treinamentos, onde você poderá apresentar um curso sobre Segurança da Informação para nossos membros e convidados. Além da oportunidade de participar de um evento world class e ter acesso a todos os módulos da conferência (o que equivale a US$ 1,160), os instrutores são remunerados com:

• Pagamento diário de USD 2,000 para turmas entre 8 e 20 alunos;
• Pagamento diário de USD 3,000 para turmas com mais de 20 estudantes, e
• Pagamento diário de USD 4,000 para turmas com mais de 30 estudantes.

Como responsáveis pela formação da grade de treinamentos, gostaria de convidar os interessados em ministrar cursos de IT Security a entrarem em contato com a Conviso para maiores detalhes em eduardo.neves (at) owasp.org.

Sobre o H2HC 2008
Hackers To Hackers Conference (H2HC) é uma conferência organizada por pessoas que trabalham ou que estão diretamente envolvidas com pesquisas e desenvolvimento na área de segurança da informação, cujo principal objetivo é permitir a disseminação, discussão e a troca de conhecimento sobre segurança da informação entre os participantes e também entre as empresas envolvidas no evento. O site do evento pode ser acessado em http://www.h2hc.org.br.

Sobre a Conviso IT Security
O fundamental papel que a tecnologia assumiu em nossa sociedade gera novos desafios para os profissionais que buscam manter a confidencialidade, integridade e disponibilidade dos dados e informações dentro de níveis aceitáveis. A Conviso IT Security tem como objetivo contribuir neste cenário, atuando como fornecedora de serviços de análise de vulnerabilidades e adequação de segurança para os componentes da infra-estrutura de TI.

O Flickr é um dos mais populares sistemas de publicação e compartilhamento de fotos da Internet. Agora estamos lá, onde iremos mostrar imagens curiosas e interessantes dos lugares onde desenvolvemos nossas atividades, e cidades pelo Brasil e mundo onde nossos projetos são conduzidos. Dê uma olhada em http://www.flickr.com/photos/conviso_it_security/.

Enquanto isso, empresas de renome continuam indo na contramão desta tendência e compartilhando suas descobertas. A Fortify mantém um enorme repositório disponível na Internet, o iDefense Labs segue a mesma linha, e o OWASP publica cada vez mais informações e recursos que podem ser acessados pela comunidade para o incremento geral do nível de proteção dos componentes técnicos.

Se você está preocupado em como a sua empresa trata este tipo de assunto, recomendamos ler a descrição do Conviso Security Training, onde a nossa equipe capacita o seu pessoal na inclusão de processos de segurança no desenvolvimento de aplicações, o que é claro, inclui componentes web.

Dados de 41 mil pessoas vazam na internet

Os dados dos mais de 41 mil entrevistados da firma de pesquisa de mercado TNS Infratest/Emnid estavam acessíveis através de uma URL simples. A falha, embora não seja a primeira do tipo, se trata de um erro de segurança banal, normalmente cometido por programadores principiantes.

Além dos dados citados acima, também podiam ser visualizados datas de nascimento, endereços de email e números de telefone e, até mesmo, dados mais críticos como números de cartões de crédito e informações bancárias. A falha chegava a expor informações muito pessoais e potencialmente perigosas como o número de crianças na casa e eletrodomésticos utilizados na residência. Segundo o site Chaos Computer Club é possível encontrar, com um pouco de "garimpo", informações ainda mais sigilosas.

Os 41 mil registros "pescados" pelo Chaos Computer Club foram obtidos com um simples script em linguagem Python. Não foi preciso "hackear" nem invadir o site da TNS Infratest/Emnid, bastando apenas manipular a URL. Basicamente, o endereço de cadasto de cada pesquisado no site se parecia com o seguinte: www.report-global.com/blablabla/data.aspx?id=11XXXX. O campo "id" na URL é, exatamente, o número de cadastro de cada entrevistado. Basta alterar manualmente esse valor para ter acesso irrestrito e sem precisar de senhas aos dados dos outros entrevistados. O site Wired Security considerou a falha, pelo seu amadorismo, "chocante e estúpida". A descrição do procedimento (em alemão) pode ser obtida aqui.

Dirk Engling, porta-voz do Chaos Computer Club, afirma que é um caso absurdo de negligência e um erro de iniciantes em desenvolvimento de software. Ele ainda afirma que o mínimo que a companhia se deve prestar a fazer é comunicar os entrevistados sobre o vazamento das informações. Finalizando, alerta que é hora de se atentar para as políticas de segurança na manipulação de dados tão sensíveis.

A notícia foi divulgada também no site Slashdot.org e no portal alemão All About Security. Embora preocupante, o caso, reportado na última sexta-feira, não é único. Recentemente as empresas alemãs German Telecom e Meldeämtern também apresentaram ocorrências de informações vazadas na rede, bem como muitas outras em inúmeros países.