Faltam menos de 3 semanas para acontecer o OWASP EU Summit 08, evento que reunirá os principais profissionais da área de segurança de aplicações Web e contribuidores da OWASP para discutir a agenda e iniciativas para o próximo ano.

Este evento tem uma abordagem bem diferente das outras conferências realizadas pela a OWASP, pois além de oferecer os treinamentos top de linha em App Security, haverão sessões de discussão de grande parte dos projetos existentes e mantidos pela OWASP. Outro diferencial desta conferência são as novas iniciativas que visam aproximar gestores e tomadores de decisão do mundo dos desenvolvedores, de forma a tornar mais amigável a relação entre esses profissionais.

Além de estar ajudando na organização do evento desde o princípio, estarei lá para discutir o futuro do projeto que sou responsável - o ASDR: Application Security Desk Reference - Guia de Referência de Segurança de Aplicações - que busca compilar em um único volume referências sobre os princípios de segurança, ameaças, ataques, vulnerabilidades, controles, impactos tecnológicos e de negócio.

Outros brasileiros estarão marcando presença no evento como Eduardo V. C. Neves - que tem feito um excelente trabalho na organização do evento, Lucas C. Ferreira que vai dar um treinamento de desenvolvimento seguro em Java e o Wagner Elias, como revisor do projeto que desenvolve junto com o Eduardo.

Apesar da crise econômica mundial, quem tiver algum sobrando e quiser participar entre em contato pois valerá muito a pena!!!

Maiores informações podem ser obtidas aqui e aqui.

Acontecerá entre 7 e 10 de Outubro a OWASP NYC AppSec 2008 Conference. Serão dois dias de sessões diversificadas, provas de CTF (Capture the Flag), treinamentos Hands-on e exposição de soluções de mercado.

Será mais uma daquelas oportunidades para quem quer se aprofundar nos aspectos técnicos da segurança de aplicações, além de ter a chance de se deparar com grandes nomes da área e fazer um networking.

O evento acontecerá no centro de Nova York e terá capacidade de 1000 participantes! As inscrições estão abertas!

ARE YOU READY?!

Outras informações aqui!

A programação do evento foi bastante rica, ainda mais com a participação de palestrantes de organizações nacionais e internacionais, como foi o caso do Jake Jacobson do Serviço Secreto Americano, que apresentou o panorama atual e funcionamento das quadrilhas que comercializam milhões de números de cartões de crédito, prática conhecida como carders. Além de Jake, John E. King e Rick. K. Koss  mostraram o funcionamento do Time de Resposta a Incidentes Computacional CART do FBI e o especialista em investigação e pesquisador Eoghan Casey deu uma aula sobre as melhores práticas e interação entre a equipe técnica e jurídica para alcançar o sucesso na ocorrência de um incidente de segurança.

Foram apresentados e discutidos alguns acordos de cooperação entre países para ajudar a caçar quadrilhas de fraudadores e de pornografia infantil.  Outros assuntos abordandos durante a conferência foram os novos desafios da perícia forense computacional, direito digital DRM, esteganografia, entre outros assuntos não tão técnicos, que não posso falar a respeito por não ter participado.

Juntamente com o ICCYBER, ocorreu a II Conferência Internacional de Ciência da Computação Forense - ICoFCS 2007, voltada para a apresentação das pesquisas científicas e acadêmicas que estão sendo desenvolvidas para auxiliar no processo de perícia.

Esta foi minha primeira participação no ICCYBER e, apesar de algumas sessões superficiais demais e outras focada em produtos, que acabam por não agregar muito valor, posso dizer que o evento valeu a pena. Agora que a conferência acabou, volto às minhas atividades de pesquisa e prestação de serviços, com muitas idéias e força de vontade para contribuir nessa caçada incessante contra os criminosos!

Estarei participando da edição 2007 com o trabalho "Plataforma para efetivação de múltiplas políticas de controle de acesso em ambientes de grade computacional" assunto do trabalho de doutoramento de Leonardo Mattes. Este trabalho irá apresentar um gerente multi-policy para ambientes de computação GRID, considerando políticas heterogêneas como a do privilégio mínimo e a IDS, a qual é baseada na identificação de ações maliciosas nas tarefas instanciadas no Grid.

Participei da edição de 2005 deste simpósio com a versão resumida do trabalho "Análise comparativa entre o IDXP e uma variante do IDMEF", o qual discutia duas formas de representar mensagens de alerta de sistemas de detecção de intrusos no sentido de padronizar o formato desta informação. No entanto, fiquei um pouco desmotivado pelo fato do artigo completo sobre os resultados preliminares do estudo sobre um agente de detecção, análise e contenção de ataques (ADACA) não ter sido aceito. Fatos que só a comissão julgadora/organizadora pode explicar. :s

Apesar disso, o simpósio foi bem aproveitado. Alguns trabalhos muitos bons, outros de contribuição não tão expressivas e quase duvidáveis, mas o que pôde ser percebido é que tinha muita gente interessada no assunto. No ano passado, infelizmente não pude participar do evento pois na época do CFP eu estava concluindo minha dissertação de mestrado.

De acordo com a programação da SBSEG 2007, o simpósio promete sessões técnicas recheadas de trabalhos envolvendo conceitos de inteligência artificial e reconhecimento de padrões, novidades sobre algorítmos de criptografia e abordagens sobre detecção e defesa de ataques de Negação de Serviço (DoS/DDoS). Observei também que os trabalhos aceitos são oriundos de instituições bem diversificadas, o que mostra uma panorama diferente das edições anteriores.

Saiba mais no site oficial do evento.

Link para artigos citados no texto.