Presentation about Owasp at BHack Conference, Belo Horizonte/Brazil. Owasp BH Wiki: https://www.owasp.org/index.php/Belo_Horizonte

2. OWASP - Compartilhando o
Desenvolvimento Seguro
Marcelo de Freitas Lopes:
• Líder e fundador do capítulo OWASP Belo Horizonte;
• Auditoria de código em aplicações Web;
• Testes de segurança em aplicações;
• Segurança de borda;
• Governança corporativa.

4. Fato:
A maioria das aplicações Web possuem
sérios problemas de vulnerabilidade!

5. Diversas vulnerabilidades
podem ser exploradas
 Atacantes podem ter acesso a dados
sensíveis e não autorizados.
 Usuários das aplicações poderão sofrer
algum dano ao usar a aplicação.
 Indisponibilidade de serviço.
 Etc...

6. Contudo, em seus primórdios, a Web não foi
desenhada para ser segura...
http://nxoc01.cern.ch/hypertext/WWW/The
Project.html
Tim Berners-Lee publicou a primeira Web
Page em um computador da NeXT, fazendo-o
como o primeiro Web Server e ficava
localizado no CERN (Conseil Européen pour la
Recherche Nucléaire).
Fonte: http://press.web.cern.ch/

7. • Tim Berners-Lee concebeu o HTML
unicamente como uma linguagem que
serviria para interligar computadores do
laboratório e outras instituições de
pesquisa, além de exibir documentos
científicos de forma simples e fácil de
acessar.
• A Segurança não era relevante.
• Mas a linguagem HTML, assim como
outras linguagens Web que nasceram
posteriormente, possuem diversas
falhas...

8. Diversas medias de segurança são aplicadas
a fim de mitigar as vulnerabilidades...

9. Fonte: http://www.cert.br/stats/incidentes/#2012

10. On The News
“New York Tour Firm Breached, 110.000 Bank Cards
Accessed.”
“Facebook clickjacking spreads across site.”
“More than 4 million Honda and Acura owners e-mail
address stolen.”
“Security claim: most home routers vulnerable to
hack.”
“Android holes allow secret installation of apps.”

11. A falta de segurança na internet
e nas aplicações Web é um
problema urgente!

12. Práticas de Segurança adotadas:
Firewall
AV Anti-Spam
VPN IDS/IPS
Proxy

13. Segurança na camada da Aplicação!
• Boas práticas de desenvolvimento seguro de
código;
• Modelagem de arquitetura segura;
• Aplicação de controles de segurança;
• Segurança & Ciclo de vida do software.

14. • A segurança deve ser considerada não importa
a linguagem...

15. OWASP Foundation
Wiki : www.owasp.org

16. • Organização internacional;
• Sem fins lucrativos (501c3);
• A mais de 10 anos produzindo e divulgado materiais e
conhecimentos sobre Segurança de Aplicações;
• Não possui nenhuma associação com produtos ou
serviços comerciais;
• Todas as ferramentas, documentos, fóruns, e capítulos da
OWASP são livres e abertos para qualquer pessoa que
estiver interessada em melhorar a segurança de
aplicações.

17. MISSÃO
Tornar visível a segurança em aplicações
para que as pessoas e organizações
possam tomar decisões conscientes
sobre o risco de segurança nas
aplicações.

18. OWASP
OWASP
Conferences OWASP Governance
OWASP
Wiki
OWASP OWASP
Tools
Chapter OWASP Foundation (501c3)
OWASP
Lists
Leaders
OWASP OWASP Board of Board of Operation Technical
Books Project Directors Advisors Director Director
OWASP Leaders
Community

19. Voluntários
Sustentado por:
 Compartilhamento de conhecimento;
 Liderança de projetos e pessoas;
 Apresentações em eventos;
 Administração.
Financiada por patrocinadores
Sustentado por:
 Membership individuais/empresariais;
 Projetos suportados por empresas;
 Publicidade em website.

20. Patrocinadores Corporativos

21. Patrocinadores Acadêmicos

22. Capítulos

23. Capítulos América Latina

24. • Criado em Janeiro de 2012;
• Trazer para BH o que está acontecendo nacionalmente e
internacionalmente no cenário da Segurança da Informação;
• Integrar os profissionais mineiros;
• Divulgar e colaborar com projetos da OWASP.

25. Projetos
Building Guide Top 10
Training
CLASP
Conferences
Ajax
WebGoat
Orizon
CBT
.NET, Java
Chapters
Testing Guide
Projectincubator
WebScarab
Wiki portal
Validation
Forums
Certification Blogs

26. Projetos
• 9% : Código
• 41% : Ferramentas
• 50% : Documentação
Projetos OWASP - Categorias:
41% 9%
Detectar Proteger
50%
Ciclo
de Vida

27. Projetos
System Development Life Cycle (SDLC)

28. Projetos
Educação
• Sensibilização
* OWASP Top 10
* OWASP Top 10 for .NET
* OWASP Application Security Desk
* Reference Project
• Guidelines
* OWASP .NET Project
* OWASP Java Project
* OWASP Ruby On Rails Project

29. Projetos
Treinamento
Aplicações Vulneráveis
• Broken Web Applications / Insecure Web App
• WebGoat
• WebGoat.NET
• iGoat

30. Projetos
Guias de Desenvolvimento
• Development Guide
• Enterprise API
• Application Security
Verification Standard
• Code Review Project

31. Projetos
Testes e Manutenção
Tests
• OWASP Testing Guide
• OWASP Tools : LAPSE , Orizon
• WebScarab , Zed Attack Proxy
Maintenance
• OWASP CSRFGuard
• OWASP ModSecurity Core Rule Set
• OWASP Appsensor

32. OWASP x Conformidade
• OWASP PCI Project
• OWASP Mobile Security Project
• OWASP Cloud Security

33. Eventos e Conferências

34. Eventos e Conferências

35. Eventos e Conferências

36. Eventos e Conferências

37. Eventos e Conferências
15 e 16 de
Setembro de
2012

38. Como Participar?
• Artigos, Wiki, Capítulos;
• Listas de Discussão;
• Projetos;
• Traduções;
• Apresentações;
• Membership (50 dólares/ano).

39. Convite
III Encontro Capítulo OWASP Belo Horizonte
Neste terceiro encontro teremos a presença de dois líderes da OWASP:
• Wagner Elias: um dos responsáveis pela vinda da OWASP ao Brasil,
sendo fundador e líder do Capítulo Brasil. Atualmente, é líder do
Capítulo São Paulo.
• Magno Logan: líder e fundador do Capítulo OWASP Paraíba a quase 2
anos, com diversas participações/organizações em eventos relacionados
à OWASP.
Local: Restaurante Donna Margherita.
Horário: Hoje, após o término das palestras do BHack.

40. Perguntas?
https://www.owasp.org
https://www.owasp.org/index.php/Belo_Horizonte
marcelo.lopes@owasp.org
@owaspbh
@marcelopes