02.03.10
OWASP AppSec Latin America 2011
O primeiro comunicado oficial sobre o OWASP AppSec Brazil que será realizado em Campinas, SP neste ano. A primeira edição, ocorrida no final de 2009 foi um grande sucesso, e aprendemos as lições para que neste evento as coisas saiam ainda melhores.
Dear Fellow OWASP Leaders and Members,
In 2009 we had the first AppSec in South America, which was organised by the Brazilian Chapter in Brasilia, with more than 200 participants from Brazil, Argentina and Peru. For 2010, we are already organising another AppSec Brasil, which will be in Campinas (90 km from the City of São Paulo). We will soon begin releasing the call for presentations for 2010 and hope to have even more submissions from Latin America than we had last year. We have set the goal to make the transition from AppSec Brasil to AppSec Latin America, and need your help in doing so.
As you may know, OWASP’s Global Conferences Committee will soon issue a Call for Conferences for year 2011. Before answering to this call, we are planning to release a Call for Conference Locations, so that candidate teams around Latin America can propose local venues to host a big AppSec Latin America Conference for 2011.
We believe this will be the first big effort to get together the Latin American OWASP Community in a big meeting, which would increase collaboration among our Chapter members and improve the presence of the community in OWASP.
We hope to have your support for this effort and are eager to hear your comments and suggestions. We also ask you to help us spread the word to other Chapters or groups we may have missed.
Best Regards,
Wagner Elias (wagner.elias@owasp.org)
Eduardo Camargo Neves (eduardo.neves@owasp.org)
Lucas C. Ferreira (lucas.ferreira@owasp.org)
01.28.10
Operação Aurora não era uma ameaça tão nova assim
O The Register publicou uma reportagem questionando a autoria da Operação Aurora, citando diversas fontes e posicionando que a origem do algoritmo foi discutida em 2007 porém todas as referências e estudos sobre a forma de utilização empregada estão dentro de publicações e trabalhos em território chinês. A parte mais esclarecedora é:
Perhaps the most interesting aspect of this source code sample is that it is of Chinese origin, released as part of a Chinese-language paper on optimizing CRC algorithms for use in microcontrollers. The full paper was published in simplified Chinese characters, and all existing references and publications of the sample source code seem to be exclusively on Chinese websites. This CRC-16 implementation seems to be virtually unknown outside of China, as shown by a Google search for one of the key variables, “crc_ta[16]“
Apesar da China negar as suposições feitas pelo Google, essa estória ainda deve ir longe e deixa claro para alguns que ainda consideram que a segurança da informação afeta somente alguns tipos de negócios. Como tem dito o meu amigo Anderson Ramos, é um mundo novo.
01.27.10
Relatório sobre segurança no Mac OS X
Este post foi copiado diretamente do Blog WebAppSec mantido pelo capítulo de Portugal do OWASP.É para pensar novamente sobre a segurança do seu Mac, não? Os links estão todos no post original, que pode ser conferido aqui.
A Intego, uma empresa que comercializa um software chamado VirusBarrier, um dos melhores software anti-virus disponíveis para a plataforma Mac OS X (linha Mac e iPhone), disponibilizou o seu relatório anual de segurança em que fala das principais ameaças a que os dispositivos da marca da maçã estiveram sujeitos durante 2009.
Deste relatório é possível destacar o seguinte:
- Que as ameaças continua ainda a ser muito limitadas, embora se note uma tendência para que as mesmas cresçam;
- As principais ameaças resultam da instalação de software pirateado (iWork’09, Adobe CS4), ou resultam de fazer Jailbreak ao iPhone e instalar o OpenSSH;
- Que apesar de tudo, grande parte destas ameaças necessitam de uma colaboração total por parte dos utilizadores dos dispositivos;
- Apesar de tudo, começam já a existir software de segurança de qualidade que podem ajudar a detectar e corrigir estes mesmos problemas.
- Apesar da plataforma Mac continuar a ser pouco visada pelos atacantes, a verdade é que esses mesmos ataques mostram uma tendência para crescer. Estes ataques parecem visar para já apenas software de terceiros, em que existe uma implantação mais alargada do mesmo, mas a verdadeira exposição poderá acontecer (se nada for feito) quando os ataques acontecerem ao nível do próprio sistema operativo.
