Aqui estamos após AppSec2009 que aconteceu em Brasília nos dias 27 a 30.

O evento teve algumas mudanças na grade visto 3 casos de gripe suina que impossibilitaram os palestrantes virem para o Brasil mas os mesmo foram substituidos por palestrantes de altissimo nivel.

O congresso foi bem interessante , revi amigos, conheci novos profissionais, coffee break excelente, o auditório muito bom e confortável. Acredito que os únicos problemas que tiveram e até já foram discutidos previamente a conferência foram: entrada sem custos o que faz muitos se inscreverem e na hora poucos realmente vão e por ser em Brasilia dificulta um pouco a viagem para a maioria dos profissionais que está em São Paulo . Foi o primeiro evento, realmente muito bom e os próximos certamente serão melhores , como diz o ditado, “a prática leva a perfeição” . Tivemos em média 150 participantes por dia o que é um excelente número para uma primeira edição .

Abaixo relatarei algumas palestras :

– Abertura

A abertura foi bem a moda governo, bem formal, presença de Deputados, Membros OWASP, professores da UNB. A conversa inicial foi interessante, deputado, professores da UNB pareceram estar interessado no OWASP e segurança web.

Um comentário legal do Diniz foi que pela primeira vez o OWASP estava tão próximo ao governo e achava que isso no futuro poderia dar bons frutos .

– Sobre o OWASP (Diniz Cruz)

Ele comentou alguns números bem interessantes do OWASP que teve inicio em 2001, instituição sem fins lucrativos e que atualmente conta com 6464 usuários, 21 milhões de page view mes, 10 mil inscritos nas listas de e-mail.

Algo que ele sempre salienta é que embora seja patrocinado por varias empresas da area o OWASP não é influenciado por fabricantes.

Atualmente possuem um podcast que já tem 45 edições e videos da conferencia no owasp.tv

– Gary McGraw Keynote Speaker

Inicialmente uma palavra pra definir ele SHOWMAN . Simplesmente ele deu uma palestra de quase 2 horas onde você nem percebe o tempo, totalmente descontraido, engraçado , simplesmente otima escolha de Keynote.

Na sua palestra ele comentou sobre seu recente projeto no OWASP chamado BSIMM.  O projeto nasceu de amostra/metricas coletadas de 9 grandes desenvolvedores de softwares no mercado como google, microsoft, adobe. A idéia é criar um Software Security Framework nos quais atualmente temos MS SDL, OWASP CLASP, OpenSAMM .

Ele valorizou muito o projeto falando que as metricas foram geradas a partir de um mundo real (observações) , de grandes empresas de sucesso e que não tinha falsas estatisticas. Algo que ele comentou foi que para pequenas empresas não saberia se funcionaria ainda visto que o inicio foi baseada em grandes players.

Mais info: http://bsi-mm.com

– Brian Contos

A palestra dele foi interessante pois comentou de profiling de websites, monitoramento de banco de dados porque uso de blacklist é falho. Muitos criticam o WAF pois ele não resolve o problema do codigo mas muitas vezes o codigo é um legado antigo, code freezing no final de ano, virtual patching até corrigirem entre tantos outras ocasiões .

– Optimizing Security Spending using OWASP (Matt)

Nessa apresentação ele ilustrou exemplos de um banco no qual o mesmo gastava uma boa quantia anual com testes de aplicações web, code review entre outros fatores. Nela ele comentou de projetos legais que podem mitigar gastos das empresas, automatizar processos e especialmente cortar gastos.

Sinceramente achei alguns pontos BEM interessantes mas os numeros mostrados acho que não condizem muito com uma realidade visto que em 1 ano eles mudaram da terceirizacao para testes internos  . Mas realmente as ideias, projetos apresentados sao de grande valia.

Comentou sobre os projetos que ele considera ser os melhores como WebGoat, WebScarab, Testing Guide v3 , OWASP LiveCD (do qual ele é o leader do projeto). Algo que achei legal que o mesmo apresentou foi sobre uma extensão para HTTP chamada OpenPGP Extension. Pesquisarei e testarei mais sobre ela no futuro .

– SQL Injection (Ulysses)

O The Bug apresentou tecnicas e metodos de SQL Injections no MySQL com demos bem interessantes. A palestra foi legal pois saiu um pouco do teorico e caiu 100% mão na massa .

– Exploiting Online Games (McGraw)

Devido os problemas de alguns palestrantes internacionais com a gripe suina o McGraw entrou em cena novamente falando de Exploiting Online Games no qual acredito ser um mercado mais americano (eu desconheço o mundo de games nacional) mas ele citou numeros expressivos o que torna a exploração de games online bem interessante no ponto de vista malicioso. Alguns números citados por ele:

– Cliente de Game com 2 gb de tamanho (opa, certamente temos falhas ai)
– 10 milhoes de games inscritos no site WoW .

Algo que ele salientou e é bem interessante são que explorando games  a maioria dos usuário são leigos em segurança, sao pessoas normais o que aumenta mais ainda quem fornece os jogos online.

E pra finalizar ele sempre fazendo showtime =)

Tivemos outras palestras interessantes, algumas não assiste por conversas de corredor que sempre são bem produtivas.

Para quem se interessou o material do evento pode ser acessado no link http://www.owasp.org/index.php/AppSec_Brasil_2009_(pt-br)#tab=Arquivos_das_Apresenta.C3.A7.C3.B5es

No final do evento foi comunicado que o próximo AppSec Brasil será realizado no CPqD em campinas e os preparativos já começarão em breve.

AppSec Brasil é um grande avanço no Brasil pois segurança web é algo muito novo para maioria das empresas e ações como essas certamente ajudarão muito o amadurecimento do mercado nacional .

Nós vemos por ai!

N-Stalker Team