Para começar quero deixar um link para algumas palestras que eu e o time da Conviso realizamos em alguns eventos: http://www.conviso.com.br/recursos_pt/apresentacoes/

Em breve outros posts sobre segurança em aplicações.

Conversando com amigos frequentemente entramos em discussões sobre os profissionais e mercado de segurança no Brasil. Já surgiram várias visões:

A teoria de Darwin

Em poucas palavras: o sistema dirá quem é quem.

Eu discordo muito disto, pois o mercado se nivela por baixo. A grande maioria dos profissionais na minha opinião, não tem experiência e sequer tempo investido em estudo e aprendizado. Eles falam com eloquencia de assuntos e temas dos quais nunca colocaram em prática, apenas conhecem a teoria dos livros básicos. Ah claro, quero acreditar que eles leram algo e não apenas repetem clichês que ouviram em palestras.

Como o sistema irá aplicar a teoria de Darwin se o pareto é a favor deles?

 

Para ser um profissional de segurança da informação é relativamente simples, siga a cartilha do abotoadura. O mercado compra; os eventos aceitam e você ainda ganha um bom salário.

O especialista by Google

Hoje com poucos minutos você encontra artigos; apresentações e uma série de conteúdo sobre qualquer coisa. O especialista by Google é fera no Google Hacking em um dia de estudo ele é capaz de conduzir uma discussão com opiniões fortes e amplamente embasadas.

A internet é a ferramenta, mas só a prática e após muito quebrar a cabeça você será um especialista em algo. Não ache que você é um Jedi porque leu um post em um blog na internet.

O diferencial do brasileiro é ser generalista

Eu acho esta visão completamente absurda e mal entendida. Tudo bem o brasileiro ter uma maneira diferente de fazer as coisas, mas é completamente diferente de achar uma vantagem o encanador que conserta o seu equipamento eletrônico de última geração. Eu não consigo entender como um profissional pode ser um generalista em segurança da informação.

Os mais interessados perguntam: Mas qual área de segurança da informação você se dedica?

O gênio responde: Todas, inclusive aprendo rápido as novas que surgem. Sim, só um gênio para ser especialista em todas as áreas de segurança da informação.

Eu sempre procurei focar em um determinado assunto, aquele com o qual lido no meu dia-a-dia, foi assim com BCP e de alguns anos para cá a segurança em desenvolvimento. Eu ouço piadinhas sempre que dou mais uma palestra sobre web, é um tema que evolui muito, tem muitas tecnologias envolvidas e é o que eu sei fazer e estudo. Sempre terá um assunto que eu não domine e terei que estudar e muito provavelmente tentarei palestrar em algum lugar.

Esta é minha visão do mercado de segurança da informação no Brasil, completamente raso e com pouca especialização. Quem quer fazer diferente siga estudando e trabalhando, mas não espere que isto mudará, já esperei, mas hoje acho que isto não irá acontecer.

Por que dar adeus a uma certificação que você estudou para tirar e é muito fácil manter?

Primeiro quero justificar o porque foi difícil tirar esta certificação. Todas as certificações que eu tirei foram com experiência prática. Eu já atuava profissionalmente com o tema abordado na certificação e tirava a certificação para ter um requisito para muitos projetos que eu participava. Nunca estudei para uma certificação para buscar um emprego melhor ou ostentar uma sigla e um bonito broche.

Para a CBCP o processo foi ainda mais prazeroso, pois na época em que tirei a certificação não existia bons materiais de estudo e podíamos contar nos dedos os profissionais certificados.

Em Abril de 2006 eu recebi o e-mail com o resultado do estudo e um atestado para aqueles que necessitavam de um certificado para acreditar na capacidade de um profissional.

A facilidade para manter uma certificação

A maioria das certificações se quer pede algo para renovar, o profissional poderá manter a certificação no currículo sem necessidade de comprovar qualquer envolvimento com o tema.

As certificações mais elaboradas exigem a necessidade de acumular CPE um acrônimo em inglês para Educação Profissional Continuada. Para acumular pontos o profissional certificado deve escrever artigos; participar de eventos; fazer treinamentos; ou seja, se manter continuamente envolvido com o tema da certificação.

Algo complicado nisto? Quando eu vejo um profissional certificado choramingando por CPEs eu acho lamentável. Se você não está continuamente envolvido com o objetivo da certificação você não deve ser certificado.

Por este motivo eu irei abandonar o CBCP. Hoje eu não atuo mais com continuidade de negócios e não estou mais confortável em manter esta certificação.

Mesmo conseguindo atingir os CPEs com muita facilidade, não irei perder tempo precioso que pode ser investido em estudo e executando algo para preencher um formulário para manter uma sigla que eu já não tenho nenhum envolvimento.

Resumindo, ADEUS CBCP.

Wagner Elias, ex-CBCP

http://www.conviso.com.br/html5-seguro-ou-inseguro/

Estou escrevendo alguns posts para o blog e tenho escrito bastante no blog da Conviso: http://www.conviso.com.br/category/blog/

Ao entrar em contato com a central de atendimento fui informado que meu CHIP estava com problema e eu precisava ir até uma loja TIM para trocá-lo. Após várias visitas em lojas TIM eu descobri que não era problema do CHIP e sim que meu aparelho havia sido cancelado por falta de pagamento. Sim! Meu telefone foi cancelado por falta de pagamento e eu não sabia. Em uma loja da TIM a atendente retirou as faturas em atraso. Apareceram várias contas com valores irrisórios, algumas com 1 centavo, isto mesmo, 1 centavo. No total as contas totalizavam menos de R$ 30,00. O detalhe é que eu não sabia destes valores e as contas eram de anos anteriores, isto mesmo, as contas eram de anos anteriores e o meu telefone funcionava normalmente e eu não sabia que devia.

Descoberto o problema, paguei os valores e pasmem, ainda tinha mais carroço-nesse-angu. Apareceram mais coisas, não acusaram outros pagamentos. Para resolver eu tinha que pagar valores que chegavam a aproximadamente R$ 150,00. Paguei os valores e finalmente eu não devia mais nada a TIM.

Bom, agora eu religo meu telefone e problema resolvido. NÃO! Os problemas só começaram! A central de atendimento dizia que meu telefone havia sido cancelado e que eu tinha perdido meu número. Após muitas discussões, reclamações em todos os canais possíveis e 2 meses depois eu consegui religar o meu número antigo.

E a saga continua! Na primeira fatura um susto, um valor assustador tarifando internet e uma multa de R$ 400,00 pelo religamento da linha. Lá vou eu percorrer todos os canais de atendimento da TIM. Após várias reclamações eu consegui que eles revisasem os valores da fatura pois o meu plano tinha internet ilimitada e eu não pagaria uma multa para religar uma linha se eles é que erraram e cancelaram meu celular indevidamente.

Problema resolvido eu tinha meu número e tudo ia muito bem. De repente a uns meses atrás surgiram novas contas com valores altos, cobrando acesso a internet. Lá vou eu contestar as contas novamente, pois o que eu devia de internet era R$ 89,00 referente a um plano ilimitado de internet. Após muitas reclamações e o telefone novamente cancelado por falta de pagamento, a TIM resolve começar a resolver meu problema. Mas sinceramente eu não confio mais, afinal, olha ai as contas que teimam em surgir de anos anteriores, inclusive uma de 1 centavo.
-------------------
Senhor Wagner, referente ao
protocolo de atendimento nº 2010161893074;

 Primeiramente
pedimos desculpas pelo ocorrido;

Em resposta ao seu e-mail, após verificações em
protocolos finalizados recentemente, localizamos o protocolo 20101350244874,
que tratava-se de contestação de valores de cobranças de serviços Tim connect Fast
e Tim Wap Fast, A fatura com vencimento em 04/08/2010 tinha o valor de R$ 3.294,95,
o valor atualizado para pagamento é de R$ 481,04, abaixo a numeração do código
de barras para o pagamento a menor:

84630000004-5 81040109080-0 00046587709-0 00775286999-5

Informamos os valores e vencimentos das faturas em aberto:

FATURA 04/03/2009 R$
0,01
FATURA 04/11/2008 R$
9,67
FATURA 04/12/2008 R$
52,75
FATURA 07/10/2010 R$
50,38
FATURA 04/01/2009 R$
1,94
FATURA 04/08/2010 R$
481,04

Total: R$ 595,79

Estamos a sua
disposição através deste canal com um novo registro no site www.tim.com.br

Agradecemos por
utilizar o canal Fale com a Tim

Atenciosamente,

Central de Relacionamento
com clientes
Sonia
www.tim.com.br

-------------------

Além do transtorno de ter que ficar brigando com a TIM e ficar sem meu número que é conhecido por meus amigos e clientes, ainda tenho que ouvir piadas, passar por constrangimentos, porque parece que eu não pago minha conta de telefone. Por isto a idéia de escrever esse post e ver se pessoas também passam pelo mesmo problema ou eu sou premiado.

Quem teve ou tem problemas semelhantes com a TIM, por favor deixem um comentário.

Abs.

Mas como, se muitos profissionais da área afirmam que este é o caminho? Exatamente por isto que eu credito este problema a nós mesmos profissionais que atuamos na área.

Hoje a maioria dos clientes coloca como critério para projetos de segurança em desenvolvimento a aderência a ISO/IEC 15408 e para Penetration Test a utilização de alguma metodologia como OSSTMM. Colocam porque durante anos os profissionais pregaram e divulgaram tais informações. O pior, na grande maioria das vezes quem divulga nunca aplicou e muitas vezes se quer conhece o padrão. Muitos profissionais amparam todo o seu discurso, argumentos em chavões, mentiras ditas tantas vezes que acabam virando verdade.

Por que OSSTMM não é referência para Penetration Test?

O primeiro grande desafio é ter o documento completo, a OSSTMM está em desenvolvimento há anos e nunca se teve conhecimento de toda metodologia, abordagem proposta. Todo o desenvolvimento é baseado em puro marketing, mesmo pagando a taxa pelo suposto método completo, ele sempre está incompleto e em desenvolvimento. E vou falar, eles sofrem de um problema sério de falta de produtividade, este cenário permanece por anos.

Bom, vamos falar da parte que existe. A documentação não apresenta fases que sejam viáveis para um Penetration Test, ele apresenta um número grande de coisas que devem ser analisadas e não passa disto. Um outro ponto que é difícil de se implementar na prática é uma abordagem quantitativa chamada rav. Esta abordagem prevê que seja analisado os controles e pontuado de acordo com um critério que, após o cálculo usando a fórmula apresentada, irá determinar uma pontuação ao ambiente. De acordo com a pontuação o ambiente é considerado mais ou menos seguro.

Abordagem quantitativas são a eterna busca de gestores na área de tecnologia, busca louvável, mas em Penetration Test isto é ineficaz e inútil. Sim, o propósito de um Penetration Test é identificar fragilidades que possam levar ao comprometimento do ambiente e não ser uma análise de riscos. A análise do Penetration Test irá apresentar uma análise qualitativa e servirá como uma das n variáveis de uma análise de riscos quantitativa. Está análise irá determinar qual o controle deve ou não ser implementado de acordo com o risco associado ao ambiente e o custo envolvido na solução versus o impacto que pode causar no ambiente.

Resumindo, OSSTMM não pode servir de referência para realização de um Penetration Test. O profissional que executa estes projetos com freqüência desenvolve seu próprio método levando em consideração as características do mercado que atua e a necessidade de organizar e apresentar os resultados esperados pelo cliente. Já escrevi algumas idéias sobre metodologia em Penetration Test e também recomendo a leitura do documento SP 800-115 (Thecnical Guide to Security Testing) do NIST.

Por que a ISO/IEC 15.408 não é referência para segurança em desenvolvimento?

Existem vários motivos que levam ao entendimento claro de que a ISO/IEC 15.408 ou Commom Criteria não é para segurança em desenvolvimento, mas o Geraldo Fonseca no Twitter deu uma descrição breve e que para mim é perfeita:

"@gfonseca_  @welias  cc/15408 é framework de avaliação, não de desenvolvimento. É para avaliar o "fato consumado", e não para ajudar a criar algo seguro."

É exatamente isto, ela não propõe ou valida nenhum método para se conseguir chegar ao desenvolvimento de um código seguro. Ela apresenta apenas alguns critérios que um produto de software deve ter para que possa ser acreditado por laboratórios credenciados. Define características que um software deve ter. Mas como eu chego lá? Procuro lá na ISO/IEC 15.408 e me diz.

Bom, se você leu pode responder que ela não apresenta nada disto. Para se conseguir um software seguro é preciso ter um processo maduro e implementar práticas de segurança em código, testes e principalmente um trabalho de conscientização e treinamento dos profissionais envolvidos. 

Um post do Fernando Cima comenta sobre o relatório "State of the Art of Software Security Assurance" do Departamento de Defesa americano e o papel da ISO/IEC 15.408. Eu também escrevi um artigo para revista da ISSA.

Não que eu queira jogar uma bomba de fumaça, mas é necessário orientar as pessoas, pesquise neste cara aqui e verifique se você encontra alguma referência internacional que associe o uso da ISO/IEC 15.408 como base para desenvolvimento seguro.

Pesquisou? Pois é, não encontrou nada.

Agora procura em português. Bingo! Existem várias citações a ISO/IEC 15.408 para desenvolvimento seguro. Este "fenômeno" eu credito a este livro: SEGURANÇA NO DESENVOLVIMENTO DE SOFTWARE

Mas o propósito do livro é claro: Como desenvolver sistemas seguros e AVALIAR A SEGURANÇA DE APLICAÇÕES DESENVOLVIDAS COM BASE NA ISO 15.408

Ah! Ai é outra história! A maioria das pessoas virá especialista apenas lendo a capa de um livro, ou no melhor dos casos, fazendo como o Pateta do Walt Disney que lê o início e o fim do livro.

Aqui está disponível a edição que eu participei:
http://www.staysafepodcast.com.br/?p=184

Quero agradecer a oportunidade e quem quiser dar seu feedback, só deixar um comentário.

APPSEC BRASIL 2010

CHAMADA DE TRABALHOS

O OWASP (Open Web Application Security Project) solicita propostas de apresentações para a conferência AppSec Brasil 2010, que ocorrerá na Fundação CPqD em Campinas, SP, de 16 a 19 de novembro de 2010. Haverá mini-cursos nos dias 16 e 17, seguidos de sessões plenárias de trilha única nos dias 18 e 19 de novembro de 2010.

Buscamos pessoas e organizações que queiram ministrar palestras sobre segurança de aplicações. Em particular destacamos os seguintes tópicos de interesse:

• Modelagem de ameaças em aplicações (Application Threat Modeling)
• Riscos de Negócio em Segurança de aplicações (Business Risks with Application Security)
• Aplicações de Revisões de Código (Hands-on Source Code Review)
• Métricas Aplicadas a Segurança de Aplicações (Metrics for Application Security)
• Ferramentas e Projetos do OWASP (OWASP Tools and Projects)
• Tópicos de Privacidade em Aplicações e Armazenamento de Dados (Privacy Concerns with Applications and Data Storage)
• Práticas de Programação Segura (Secure Coding Practices)
• Programas de Segurança para todo o Ciclo de Vida de aplicações
• (Secure Development Lifecycle Programs)
• Tópicos de Segurança para tecnologias específicas (AJAX, XML, Flash, etc) (Technology specific presentations on security such as AJAX, XML, etc)
• Controles de Segurança para aplicações Web (Web Application Security countermeasures)
• Testes de Segurança de aplicações Web (Web Application Security Testing)
• Segurança de Web Services ou XML (Web Services, XML and Application Security)

A lista de tópicos não é exaustiva; outros tópicos podem ser abordados, desde que em consonância com o tema central do evento.

Para submeter uma proposta, preencha o formulário disponível em http://www.owasp.org/images/6/68/OWASP_AppSec_Brasil_2010_CFP%28pt-br%29.rtf.zip, que deve ser enviado através da página da conferência no site Easychair: http://www.easychair.org/conferences/?conf=appsecbr2010

Cada apresentação terá 45 minutos de duração, seguidos de 10 minutos para perguntas da platéia. Todas as apresentações deverão estar em conformidade com as regras definidas pelo OWASP em seu “Speaker Agreement”.

Datas importantes:

• A data limite para apresentação de propostas é 17 de agosto de 2010 às 23:59, horário de Brasília.
• A notificação de aceitação ocorrerá até o dia 8 de setembro de 2010.
• A versão final das apresentações deverá ser enviada até o dia 30 de setembro de 2010.

A comissão organizadora da conferência pode ser contactada pelo e-mail: organizacao2010@appsecbrasil.org

Para mais informações, favor consultar as seguintes páginas:

• Página da conferência: http://www.owasp.org/index.php/AppSec_Brasil_2010_(pt-br)
• OWASP Speaker Agreement (em inglês): http://www.owasp.org/index.php/Speaker_Agreement
• Página do OWASP: http://www.owasp.org
• Página da conferência no Easychair: http://www.easychair.org/conferences/?conf=appsecbr2010
• Formulário para apresentação de propostas: http://www.owasp.org/images/f/f7/OWASP_AppSec_Brasil_2010_CFP.rtf.zip

ATENÇÃO: Não serão aceitas propostas sem TODAS as informações solicitadas no formulário

Favor divulgar a todos os possíveis interessados.

"O trágico da nossa época ou, melhor dizendo, do Brasil atual, é que o idiota mudou até fisicamente. Não faz apenas o curso primário, como no passado. Estuda, forma-se, lê, sabe. Põe os melhores ternos, as melhores gravatas, os sapatos mais impecáveis. Nas recepções do Itamaraty, as casacas vestem os idiotas. E mais: – eles têm as melhores mulheres e usam mais condecorações do que um arquiduque austríaco."

Nelson Rodrigues - O Óbvio Ululante - 1968

Muitos já pensaram logo: é, ele ficou louco de vez, citando Nelson Rodrigues em um blog de segurança da informação. Não, é apenas o que eu acho sobre a mais óbvia das citações feitas por 8 entre 10 profissionais de segurança da informação.

Mas que citação é esta?

"O elo mais fraco são as pessoas"

Sem contar as variações que citadas por abotoaduras que são mestres em falar o Mesmo-do-Mesmo com tamanha destreza que faz milhares de pessoas o seguirem como se fosse algo digno de um grande mestre.

Sim, falar que pessoas são a parte mais difícil de tratar quando se pensa em segurança da informação é o Óbvio Ululante, afinal em toda ciência que envolva pessoas isto será sempre assim.

Se isto é óbvio por que a maioria dos profissionais baseiam todo seu discurso nesta citação óbvia?

Simples, por ser a verdadeira bomba de fumaça. É aquela mesma que os ninjas usam para desaparecer sem deixar vestígios.

Falando que o problema são as pessoas exime o profissional de pesquisar e discorrer sobre temas que exigem bastante envolvimento e maturação para que se façam entendivel ao ser humano. É fácil dizer que as pessoas não respeitam uma política, mesmo quando ela é mal feita e descabida. Difícil é desenvolver e implementar uma política que seja de senso comum e que as pessoas entendam sua importância e que as pratiquem sem dificuldades.

Por isto você profissional que está iniciando ou já atua em segurança da informação, fuja desta, busque respostas e não engula o óbvio ululante.

A palestra irá acontecer as 14 hrs. Irei apresentar as principais falhas e técnicas para correções em aplicações baseadas em Adobe Flash.

Mais informações sobre o evento podem ser conferidas aqui: https://gts.nic.br/reunioes/gts-15

Aguardo vocês lá!

A conviso irá ministrar dois treinamentos:

• Web Hacking Techniques
• Internet Hacking Techniques

O evento acontece no dia 22 de Junho e espero vocês lá.

Os últimos meses foram alucinantes, muito trabalho, um treinamento na uCon, que foi demais, e sobrou pouco tempo para escrever algo aqui. Cheguei ao cúmulo de esquecer de pagar o host e o domínio ficou suspenso por um dia.

Agora estou de volta, vou começar a agitar isso aqui novamente e espero que os leitores apreciem.

Mais informações no site da conferência, como diria meu amigo sp0oker: Happy Hacking!

Bom, fui lá e dei-um "Forgot password" e resolvi começar a "twittar" (é assim que se fala?).

Quem quiser acompanhar e claro, apreciar com moderação, é só me incluir (é assim? Calma, estou começando.) acessando a URL: http://twitter.com/welias

Como o título foi extremamente sensacionalista e na minha opinião, as declarações de Chess foram bastante parciais em favor do produto/negócio da Fortify, as interpretações não foram as melhores.

Ivan Arce CTO da Core Security escreveu um outro artigo para o mesmo portal com o título: Twelve Reasons Pen Testing Won't Die

Neste artigo Arce "contra-ataca" Chess e faz uma brincadeira criando o acrônimo, SISSP (School of Information Systems Security Prophets) e descreve de forma muito clara inúmeros motivos para se realizar testes de segurança (pen-tests).

No maior estilo Schopenhauer, Chess, escreveu outro post no blog da Fortify: Penetration Testing is Dead, Long Live Penetration Testing

A minha opinião sobre esta novela toda é: Muda-se o nome, muda-se a "roupagem" mas os testes de segurança sempre deverão ser feitos. Afinal, como será garantido que os produtos mesmo após um bom SDL (secure Development Lifecycle) são realmente seguros como deveriam ser? Como diria Michael Howard: "Ou você testa ou alguém ira testar por você".

Entre as coisas que venho observando há anos e sempre faço uma anotação ou outra é sobre o mercado de segurança da informação. Está certo que eu sou um pouco mais rabugento que a média, mas muita coisa é de irritar, as anotações servem como válvula de escape. As vezes leio algo ou passo por uma situação e a primeira coisa que vem a cabeça é: vou escrever um post e soltar o verbo, mas acabo anotando e observando um pouco mais. É verdade, as vezes escapa e acabo falando demais. Hoje eu decidi falar sobre uma coisa que me incomoda profundamente.

Profissionais que adoram falar sobre código de ética, classificação da informação, política de segurança e plano de continuidade de negócios

Mas Wagner, você sempre defendeu estes pontos? Sim, eu sempre defendi e acho super importante estes pontos, mas, (a quem diga que após um mas sempre vem uma crítica. ) eu estou cansado de encontrar "Grandes" profissionais do mercado de segurança da informação que, nunca implementaram nada, não sabem do que falam e se colocam em posição de sênior e superior a todos que não falam as palavras da moda e não lêem revistas de negócio. Vou dar umas dicas para quem deseja ser este profissional altamente desejado e merecedor de bons cargos e salários.

• Gaste boa parte do seu sálario com um bom terno, camisas, abotoaduras e sapatos bem lustrados;
• Leia todos os livros de auto-ajuda e os nacionais de segurança da informação;
• Faça lobby, muito lobby. Vale convidar para fumar charutos (mesmo que você odeie qualquer tipo de coisa parecida com cigarros), degustar vinhos caros (mesmo que você goste mesmo é de uma cerveja bem gelada);
• Fale muito daquela viagem que você fez para Miami e Buenos Aires, isso é chique, (não é tão chique assim, mas é o que você consegue pagar, pois os ternos são caríssimos) os executivos gostam disto;
• Critique a postura alienada dos técnicos que salvam sua pele, garantem o seu salário e lhe passam as informações para montar aquela maravilhosa apresentação "vendendo" sua área. Afinal, o que seria destes técnicos sem todo seu poder de relacionamento inter-pessoal e astúcia com o power point?

E a regra de ouro é: nunca participe de listas de discussões, não tenha um blog, não tenha opiniões fortes. Isso é exposição demais para um "Grande" profissional como você. Vai que alguém descobre que você é um charlatão, que tudo que você aprendeu nos livros é meia dúzia de palavras e conceitos.

Sobre os temas mais citados em gestão de segurança da informação, IMHO é bem simples:

Código de ética: ou você tem ou não tem. Se você precisa a todo momento ficar falando sobre ética é porque você almeja muito e não tem. Vejo muitos profissionais falando o tempo todo, citando, escrevendo, enormes códigos de ética e na primeira oportunidade o "Gersão" surge dentro deles e a ética só vale para os outros;

Classificação da Informação: super importante e um tema muito interessante, mas quem consegue aplicar da forma como os "Grandes" falam? Escrever políticas e colocar rótulos em algumas informações não irá mitigar nenhum risco;

Plano de Continuidade de Negócios: um dos temas que mais me fascina, me dedico bastante a aprender e estudar o tema, porém, na maioria das vezes só tenho contato com BCP (Bullshit Compliance Plan). Tudo não passa de discurso, um monte de papel sem sentido e algum mané dizendo que vai salvar o mundo com este monte de papel.

Eu acredito muito em segurança da informação, já vi muitos casos de sucesso e conheço grandes profissionais, senão fosse isto eu já havia desistido. Ainda sou Brasileiro e não desisto nunca, acredito na "queda das mascaras" e na maturidade do mercado de segurança da informação e no surgimento de mais Profissionais capacitados e capazes de lidar com todos os riscos que nos assolam todos os dias.

[Update] Resolvi deixar uma coisa bem clara, afinal acho que as interpretações foram diversas. Eu não acredito que todas as pessoas que tomam vinho, se vestem impecavelmente e fumam charutos são charlatonas, a mensagem é bem direta: quem é charlatão que se identifique. Como disse ao Lincoln nos comentários, as pessoas podem ser opostas a estas características e serem charlatonas. Muitos gerentes, executivos em geral gostam de tudo que falei e são responsáveis pelo sucesso de muitas áreas e organizações, estão longe de ser charlatões, se preocupam em ser e não em ter. Apreciem o texto com moderação.

No dia 21 de Outubro as 21hrs. eu estarei dando uma palestra sobre segurança em desenvolvimento de software na UNIFRAN (Universidade de Franca). Já em Novembro, eu, Eduardo Neves e Leonardo Cavallari vamos para o OWASP EU Summit 2008 em Portugal. Além de nós que vamos como líderes de projetos e participando da organização, o meu amigo Lucas Ferreira vai apresentar um curso de técnicas de segurança em desenvolvimento de sistemas java. O treinamento é uma versão enxuta do treinamento que o Lucas vai ministrar junto com a Conviso em São Paulo e Brasília.

Outras palestras de segurança

• Introdução ao Microsoft Forefront Code Name "Stirling" - Nível 300
• TMG (Threat Management Gateway), o próximo Firewall Microsoft: Visão Técnica - Nível 300
• Como fazer revisão e testes de código para identificar problemas (bugs) de segurança - Nível 300
• Introdução ao Forefront Client Security 2.0 - Nível 300
• O que é o IAG 2007 e Como Ele Protege Meu Ambiente - Nível 300
• Windows Server 2008 - Por que é Realmente Seguro (Análise Técnica) - Nível 200
• Defesa em Profundidade ? O NAP (Network Access Protection) Pode Ajudar ! - Nível 300
• [Sessão de Almoço] Implementação de Extranets Seguras com o Microsoft Forefront Security for Sharepoint - Nível 300
• 10 Passos para Manter-se Protegido ou.... Seja D0min@d0! - Nível 200
• Privacidade: Onde, Como e Por quê! - Nível 300
• Estamos no Século 21: É Hora de Jogar Fora seus Gateways Medievais! - Nível 300

Sobre o tech-ed 2008

Tech-ed é uma conferência organizada pela Microsoft, cujo principal objetivo é permitir a disseminação, discussão e a troca de conhecimento sobre tecnologia e os produtos da Microsoft entre os participantes e também entre as empresas envolvidas no evento. Umas das principais atrações é a presença de Steve Balmer, o site do evento pode ser acessado em http://www.teched.com.br.

Sobre o H2HC 2008
Hackers To Hackers Conference (H2HC) é uma conferência organizada por pessoas que trabalham ou que estão diretamente envolvidas com pesquisas e desenvolvimento na área de segurança da informação, cujo principal objetivo é permitir a disseminação, discussão e a troca de conhecimento sobre segurança da informação entre os participantes e também entre as empresas envolvidas no evento. O site do evento pode ser acessado em http://www.h2hc.org.br.

Com a popularidade do wordpress, não demorou muito para as vulnerabilidades começarem a aparecer. Felizmente a comunidade e a empresa responsável pelo wordpress não tem decepcionado, a resposta a problemas de segurança que, são inevitáveis, é muito rápida e eficaz.

Eu acabei de migrar o blog para versão 2.6, nesta versão algumas mudanças relacionadas a segurança valem o comentário.

1. XML-RPC desabilitado por default;
2. Controles para garantir a integridade dos cookies;
3. Salt nas senhas;
4. Tratado as informações de erro relacionadas ao Banco de Dados.

Além destas mudanças, um dos maiores especialistas em segurança de ambiente web na minha opinião, Petko D. (PDP) Petkov do GNUCITIZEN junto com o BlogSecurity, lançaram o Blogsecurify. A iniciativa conta com o apoio de PDP no antigo projeto do BlogSecurity, o wp-scanner.

Para fazer um scan buscando por vulnerabilidades no seu wordpress usando o Blogsecurify baixe o plugin disponibilizado, habilite-o e no site do blogsecurify informe a URL do seu blog e mande analisar.