2. OWASP - Compartilhando o
Desenvolvimento Seguro
Marcelo de Freitas Lopes:
• Líder e fundador do capítulo OWASP Belo Horizonte;
• Auditoria de código em aplicações Web;
• Testes de segurança em aplicações;
• Segurança de borda;
• Governança corporativa.
3.
4. Fato:
A maioria das aplicações Web possuem
sérios problemas de vulnerabilidade!
5. Diversas vulnerabilidades
podem ser exploradas
Atacantes podem ter acesso a dados
sensíveis e não autorizados.
Usuários das aplicações poderão sofrer
algum dano ao usar a aplicação.
Indisponibilidade de serviço.
Etc...
6. Contudo, em seus primórdios, a Web não foi
desenhada para ser segura...
http://nxoc01.cern.ch/hypertext/WWW/The
Project.html
Tim Berners-Lee publicou a primeira Web
Page em um computador da NeXT, fazendo-o
como o primeiro Web Server e ficava
localizado no CERN (Conseil Européen pour la
Recherche Nucléaire).
Fonte: http://press.web.cern.ch/
7. • Tim Berners-Lee concebeu o HTML
unicamente como uma linguagem que
serviria para interligar computadores do
laboratório e outras instituições de
pesquisa, além de exibir documentos
científicos de forma simples e fácil de
acessar.
• A Segurança não era relevante.
• Mas a linguagem HTML, assim como
outras linguagens Web que nasceram
posteriormente, possuem diversas
falhas...
8. Diversas medias de segurança são aplicadas
a fim de mitigar as vulnerabilidades...
10. On The News
“New York Tour Firm Breached, 110.000 Bank Cards
Accessed.”
“Facebook clickjacking spreads across site.”
“More than 4 million Honda and Acura owners e-mail
address stolen.”
“Security claim: most home routers vulnerable to
hack.”
“Android holes allow secret installation of apps.”
11. A falta de segurança na internet
e nas aplicações Web é um
problema urgente!
13. Segurança na camada da Aplicação!
• Boas práticas de desenvolvimento seguro de
código;
• Modelagem de arquitetura segura;
• Aplicação de controles de segurança;
• Segurança & Ciclo de vida do software.
14. • A segurança deve ser considerada não importa
a linguagem...
16. • Organização internacional;
• Sem fins lucrativos (501c3);
• A mais de 10 anos produzindo e divulgado materiais e
conhecimentos sobre Segurança de Aplicações;
• Não possui nenhuma associação com produtos ou
serviços comerciais;
• Todas as ferramentas, documentos, fóruns, e capítulos da
OWASP são livres e abertos para qualquer pessoa que
estiver interessada em melhorar a segurança de
aplicações.
17. MISSÃO
Tornar visível a segurança em aplicações
para que as pessoas e organizações
possam tomar decisões conscientes
sobre o risco de segurança nas
aplicações.
18. OWASP
OWASP
Conferences OWASP Governance
OWASP
Wiki
OWASP OWASP
Tools
Chapter OWASP Foundation (501c3)
OWASP
Lists
Leaders
OWASP OWASP Board of Board of Operation Technical
Books Project Directors Advisors Director Director
OWASP Leaders
Community
19. Voluntários
Sustentado por:
Compartilhamento de conhecimento;
Liderança de projetos e pessoas;
Apresentações em eventos;
Administração.
Financiada por patrocinadores
Sustentado por:
Membership individuais/empresariais;
Projetos suportados por empresas;
Publicidade em website.
24. • Criado em Janeiro de 2012;
• Trazer para BH o que está acontecendo nacionalmente e
internacionalmente no cenário da Segurança da Informação;
• Integrar os profissionais mineiros;
• Divulgar e colaborar com projetos da OWASP.
25. Projetos
Building Guide Top 10
Training
CLASP
Conferences
Ajax
WebGoat
Orizon
CBT
.NET, Java
Chapters
Testing Guide
Projectincubator
WebScarab
Wiki portal
Validation
Forums
Certification Blogs
39. Convite
III Encontro Capítulo OWASP Belo Horizonte
Neste terceiro encontro teremos a presença de dois líderes da OWASP:
• Wagner Elias: um dos responsáveis pela vinda da OWASP ao Brasil,
sendo fundador e líder do Capítulo Brasil. Atualmente, é líder do
Capítulo São Paulo.
• Magno Logan: líder e fundador do Capítulo OWASP Paraíba a quase 2
anos, com diversas participações/organizações em eventos relacionados
à OWASP.
Local: Restaurante Donna Margherita.
Horário: Hoje, após o término das palestras do BHack.