Aí está… oficialmente lançada a organização da IBWAS’10 (2ª Conferência Ibero-Americana de Segurança em Aplicações Web) depois da edição do ano passado, em Madrid, a IBWAS’09.

Este ano, a IBWAS’10 realiza-se em Portugal, em Lisboa, no ISCTE-IUL. Toda comunidade de segurança nacional e internacional está convidada a participar. O respectivo Call for Papers já foi igualmente lançado, e a organização da IBWAS’10 agradece a sua divulgação e disseminação.

Mais uma vez, a comunidade local e internacional do OWASP estará reunida durante 2 dias cheios, juntamente com a comunidade académica, profissionais e empresas para debater o estado actual e futuro da segurança na Web.

A organização está igualmente a estabelecer um painel de keynote speakers e de panel speakers de qualidade. Mais notícias irão surgindo à medida que se justifique.

Estão desde já todos convidados a participar.

Related posts

• No related posts.

O título deste post é talvez exagerado em demasia… ou talvez não.

Os programadores (não são os únicos, claro) têm hoje em dia uma quota parte de responsabilidade na segurança de uma aplicação. O código que desejam e escrevem, contribui de forma decisiva para a (in)segurança de uma aplicação ou de um sistema.

A SANS Institute e a MITRE, à semelhança do que acontece com a OWASP com o seu Top 10, lançou igualmente um relatório anual em que lista as principais vulnerabilidades de segurança originados por problemas de programação. Desta lista fazem parte 25 dos principais e mais perigosos erros de programação.

Caros programadores, olhem para o vosso código e garantam que não cometem (ou cometeram) um destes 25 erros.

Related posts

• No related posts.

Saiu na POSI mag 3, uma publicação do curso de Pós-Graduação em Sistemas de Informação do IST, um artigo sobre “A Segurança das Aplicações e Sistemas de Informação Baseados na WWW: Mais do que a visão alcança“, que fala um pouco sobre a perspectiva da segurança no desenvolvimento aplicacional, e dos problemas que podem ser originados.

Acho que vale a pena uma leitura rápida.

Related posts

• No related posts.

Depois de uma época em que a World Wide Web em que os utilizadores da mesma eram simples consumidores da informação que era disponibilizada on-line, e em que este canal de comunicação era na sua essência unidireccional, assistimos hoje a uma nova realidade.

• Usar correctamente as listas de amigos;
• Remover-se dos resultados de pesquisa do Facebook;
• Evitar o tagging em fotos e vídeos (o que pode ser embaraçoso);
• Proteger os seus álbuns de fotografias;
• Evitar que as histórias apareçam no feed de news dos seus amigos;
• Proteger-se contra histórias publicadas por outras aplicações;
• Tornar a sua informação de contacto privada;
• Evitar Wall posts que possam ser embaraçosos;
• Tornar as suas relações privadas;

No entanto as ameaças não estão resumidas à privacidade dos utilizadores. As ameaças que populam as redes sociais, em particular as de maior dimensões, são cada vez mais perigosas. Uma das ameaças mais recentes no Facebook é uma aplicação misteriosa que está a afectar os utilizadores [7]. Os utilizadores estão a ser solicitados por outros utilizadores a instalarem uma aplicação chamada “Unnamed App”. A Sophos já identificou esta ameaça como sendo Mal/FakeVirPk-A.

Figura 2. Alguns dos utilizadores mais activos no Facebook são muitas vezes confrontados com aplicações estranhas que podem ter comportamentos completamente diferentes do esperado

Figura 3. Inclusive podem enviar “chat requests“ com links para sites que podem conter software malicioso

Figura 4. Notificações dessas mesmas aplicações que não são mais do que pedidos “encapuçados” para levar o utilizador para outros sites na Internet

Figura 5. Alguns desses pedidos servem para bombardear os utilizadores com publicidade não solicitada

No passado ano de 2009 foram duas as principais ameaças que afectaram as principais redes sociais e que estiveram na origem de inúmeros problemas. Uma destas ameaças deu pelo nome de Koobface (um anagrama da palavra Facebook), e que é um worm que ataca directamente os utilizadores de redes sociais como o Facebook, MySpace, hi5, Bebo, Friendster, e Twitter. O Koobface tenta, após infectar o sistema do utilizador, vai tentar obter informação diversa do utilizador, tal como números de cartão de crédito.

O Koobface espalha-se através do envio de mensagens do Facebook a pessoas que são “amigas” de um utilizador Facebook que tenha sido previamente infectado. Depois de recebida, a mensagem direcciona o receptora para um site de Web, em que os utilizadores são levados a pensar na existência de uma actualização de uma versão recente do software Flash. Se descarregarem e instalarem este ficheiro, os utilizadores ficam igualmente infectados com o Koobface, passando a estar sob o controlo do mesmo e passando a infectar mais utilizadores. Um sistema infectado com o Koobface possui instalado os seguintes componentes [9]:

• Componente que permite descarregar mais software Koobface da Internet sem o utilizador se aperceber;
• Componente de propagação para outras redes sociais;
• Componente servidor Web;
• Componente de instalação de um antivírus falso;
• Componente que quebra CAPTCHA;
• Componente para roubar informação;
• Componente modificador de informação de DNS;
• E outros.

O Koobface é um worm tão sofisticado que é capaz de, entre outras coisas:

• Registar uma conta no Facebook;
• Activar essa mesma conta através da confirmação do email enviado para uma conta do Gmail;
• Fazer-se amigo de várias pessoas na rede social;
• Juntar-se a múltiplos grupos no Facebook;
• E colocar posts na Wall de “amigos” com mensagens com links para sites ou para vídeos que são fontes de distribuição de malware;
• Inteligente ao ponto de não adicionar muitos amigos por dia, para não chamar as atenções para si próprio.

A segunda grande ameaça identificada nas redes sociais foi o worm “stalkdaily” criado por um jovem de 17 anos chamado Mikeyy Mooney. Este worm lançou o pânico no Twitter, enviando mensagens aos utilizadores para visitarem site stalkdaily.com que infectava o perfil do visitante que tivesse uma conta de Twitter associada.

As redes sociais (principalmente o Facebook e o Twitter) tornaram-se assim meios preferenciais para lançar diversos tipo de ataques: phishing, malware, roubo de dados e de identidade, stalking, entre outros. Estes atacam não apenas a ingenuidade dos utilizadores, mas igualmente a própria infra-estrutura onde assentam estas redes sociais, em que as mesmas não são completamente imunes a problemas de segurança, e são susceptíveis a algumas das vulnerabilidades apontadas por organizações como a OWASP (através do OWASP Top 10) e como tal podem ser explorados por atacantes determinados. Aplicações como o Facebook (ou as micro-aplicações dentro do próprio Facebook) são reconhecidamente vulneráveis a alguns tipos de vulnerabilidades, como Cross Side Scripting (XSS) e Cross Site Request Forgery (CSRF).

Mas as ameaças à privacidade dos utilizadores na Internet. O próprio gigante Google está hoje a tornar-se uma séria ameaça à privacidade dos utilizadores. A quantidade de serviços que o Google oferece aos utilizadores (motor de busca, Youtube, Adesense, Adwords, Blogger, DNS, URL shortner, e muitos outros) viram tornar a Google numa empresa com características muito especiais. Nunca antes na história, tanta informação (muita dela pessoal) esteve nas mãos de uma única entidade privada. Quais os perigos que isto pode representar em termos de privacidade para os muitos milhões de utilizadores que usam os serviços/produtos da Google? Fala-se muito do monopólio da Microsoft, mas o verdadeiro monopolista da informação é o Google.

Foi referido que o recente ataque levado a cabo por hackers chineses ao Google (Gmail) assim como a outras empresas norte-americanas e europeias, só ter sido possível porque a Google colocou um backdoor no Gmail para poder ser acedido pelo Governo norte-americano (foi por aí que os atacantes conseguiram entrar)[1][2]. Este backdoor, a confirmar-se, diz muito sobre as intenções da Google, e sobre a forma como a nossa informação é processada pela empresa.

No caso das redes sociais, aqui ficam algumas recomendações sobre privacidade/segurança em redes sociais. Nem todas se aplicam em todos os casos, mas aqui ficam alguns desses mesmos conselhos:

• Se usar um sistema operativo Windows, deve usar um antivírus, que consiga detectar ameaças na Web e que funcione igualmente como firewall e anti-spyware;
• Cuidado com a informação que partilha e com quem assim como com os conteúdos que coloca nas redes sociais
• Reveja as politicas de partilhas e âmbito das mesmas no Facebook;
• Nunca revelar informação pessoal (detalhes de morada, etc.) ou de negócio através de redes sociais;
• Cuidado com fotos e outros conteúdos que se colocam nas redes sociais – o que é giro hoje pode ser comprometedor no futuro;
• Desconfiar sempre dos links e outras mensagens que sejam partilhados por “amigos” conhecidos e desconhecidos;
• Isto é particularmente difícil, pois os serviços de redução das URL escondem os detalhes da URL original.
• Não instalar discriminadamente aplicações no Facebook, sem saber do que se trata primeiro. Nunca, mas mesmo nunca instalar aplicações desconhecidas!
• Em resumo: usar as redes sociais **SIM**, mas com **RESPONSABILIDADE**!

[1] Alvy/Microsiervos, “China vs. Google: los atacantes aprovecharon una “puerta trasera” en GMail pensada para el gobierno americano”, lainformacion.com, 25 Janeiro 2010, http://noticias.lainformacion.com/arte-cultura-y-espectaculos/internet/china-vs-google-los-atacantes-aprovecharon-una-puerta-trasera-en-gmail-pensada-para-el-gobierno-americano_xYmT4AxRsa69E4HY9LmKr/
[2] Bruce Schneier, “U.S. enables Chinese hacking of Google”, CNN, 23 Janeiro 2010, http://edition.cnn.com/2010/OPINION/01/23/schneier.google.hacking/index.html
[3] Nick O’Neill, “10 Privacy Settings Every Facebook User Should Know”, Fevereiro 2009, http://www.allfacebook.com/2009/02/facebook-privacy/
[4] SARAH PEREZ, “The 3 Facebook Settings Every User Should Check Now”, The New York Times, Janeiro 2010, http://www.nytimes.com/external/readwriteweb/2010/01/20/20readwriteweb-the-3-facebook-settings-every-user-should-c-29287.html?em
[5] Kevin Bankston, “Facebook’s New Privacy Changes: The Good, The Bad, and The Ugly”, EFF, Dezembro 2009, http://www.eff.org/deeplinks/2009/12/facebooks-new-privacy-changes-good-bad-and-ugly
[6] Marshall Kirkpatrick, “Privacy, Facebook and the Future of the Internet”, Read Write Web, Janeiro 2010, http://www.readwriteweb.com/archives/privacy_facebook_and_the_future_of_the_internet.php
[7] David Neal, “Mystery app plagues Facebook users”, Yahoo! News, Janeiro 2010, http://uk.news.yahoo.com/16/20100128/ttc-mystery-app-plagues-facebook-users-6315470.html
[8] Michael Evans, “Wife of Sir John Sawers, the future head of MI6, in Facebook security alert”, Times Online, July 2009, http://technology.timesonline.co.uk/tol/news/tech_and_web/article6644199.ece
[9] Jonell Baltazar, Joey Costoya, and Ryan Flores, “The Real Face of KOOBFACE: The Largest Web 2.0 Botnet Explained”, Trend Micro Threat Research, 2009, http://us.trendmicro.com/imperia/md/content/us/trendwatch/researchandanalysis/the_real_face_of_koobface_jul2009.pdf
[10] Lidija Davis, “StalkDaily: A New Twitter Virus on the Loose?”, ReadWriteWeb, 2009, http://www.readwriteweb.com/archives/stalkdaily_a_new_twitter_virus_on_the_loose.php
[11] Sophos, “Security Threat Report:2010”, Sophos, 2010, http://www.sophos.com/sophos/docs/eng/papers/sophos-security-threat-report-jan-2010-wpna.pdf

Related posts

• No related posts.

A revista Semana Informática, uma das publicações portuguesas na área das Tecnologias de Informação, convidou a Open Web Application Security Project (OWASP) a participar numa entrevista, no âmbito de um dossier sobre segurança da informação que publicou recentemente , na edição n.º 959, correspondente à semana compreendida entre os dias 22 e 28 de Janeiro de 2010.

Com o objectivo de valorizar o conteúdo das respostas, e validar as asserções no contexto Português, para este artigo a OWASP resolveu um conjunto de especialistas na área da segurança da informação, nomeadamente, o Professor Carlos Serrão (docente do ISCTE-IUL e líder do capítulo português da OWASP), Dinis Cruz (evangelista da OWASP e membro da board do OWASP) e Miguel Almeida (consultor independente de segurança da informação).

As respostas dadas às questões colocadas pela Semana Informática, deram origem a um extenso artigo de opinião, o qual, por razões de espaço não foi possível colocar no dossier que estava a ser preparado pela revista.

Porque achamos que essa mesma entrevista, na sua versão integral transmite um pouco aquilo que é o estado actual do mercado da Segurança de Informação em Portugal, resolvemos agora, com a autorização da Semana Informática e da própria OWASP publicar essa mesma entrevista na integra, e sem qualquer tipo de corte editorial.

É um pouco extenso, mas penso que a leitura vale a pena.

SI: Os desafios que se colocam à segurança de informação são crescentes, com os ataques informáticos a intensificarem-se e e exigências dos reguladores a aumentar. Pensam que as empresas estão conscientes da necessidade de investirem nesta área?

Os sinais indicam-nos que não, que não existe uma consciência clara e generalizada na empresas Portuguesas, sobre a necessidade de investir na segurança da informação e, em particular, na componente da segurança aplicacional.

Se analisarmos a dimensão do mercado Português orientado para a segurança aplicacional (que, de uma forma geral, reflecte a dimensão da procura), verificamos que é um mercado pequeno, composto por um conjunto reduzido de empresas e consultores individuais, que fornecem serviços relacionados com a segurança.

A dimensão da comunidade Portuguesa da OWASP – a sua pequena dimensão – é também um indicador do grau de consciência para esta problemática, uma vez que a OWASP atrai, tipicamente, as empresas que procuram reforçar a segurança do seu sistema de informação e também, naturalmente, as empresas que oferecem serviços que vão ao encontro dessa necessidade, i.e., as empresas de serviços de segurança.

Um outro sinal importante, que nos indica o grau de maturidade neste mercado, é o facto de encontrarmos debates nos fóruns de segurança que, na sua maioria, são focados nos aspectos que concernem a componente de segurança ao nível das redes (referimo-nos, por exemplo, a debates sobre firewalls, sistemas de detecção de intrusão (IDS), cifra de dados e mecanismos de autenticação forte). Embora estes temas sejam importantes, no contexto da segurança da informação, são temas que, neste momento, já deviam estar amadurecidos e consolidados nas organizações. Os temas mais importantes, na fase em que nos encontramos hoje, têm que ser, inevitavelmente, os processos de segurança e a segurança das aplicações, temas que estão, num modelo de segurança por camadas, alguns níveis acima dos que (ainda) são debatidos em Portugal.

Por outro é importante salientar a falta de profissionais de segurança que estejam especificamente formados na componente da segurança aplicacional. Nas Universidades em Portugal é difícil encontrar unidades curriculares integradas em licenciaturas ou em programas de mestrado que lidem em particular com as especificidades da segurança de informação ao nível aplicacional. As próprias unidades curriculares mais vocacionadas para a engenharia de software, abordam apenas superficialmente esta problemática da segurança ao nível do desenvolvimento aplicacional. Isto acaba invariavelmente por se reflectir na qualidade das aplicações e sistemas de software que são produzidos no mercado, por estes profissionais com poucas preocupações a nível de segurança.

Igualmente, a pressão competitiva que é colocada no mercado do desenvolvimento de aplicações e sistemas acaba por levar a que estas preocupações de segurança aplicacional possam ser descuradas em detrimento de outras características mais sexy do software, e que efectivamente vendem.

Finalmente, não podemos deixar de referir a possibilidade de haver empresas e agências governamentais que estejam, actualmente, a contratar serviços de segurança a empresas estrangeiras. No entanto, a experiência mostra-nos que, quando os sinais indiciam que não existe um foco sobre a segurança, acabamos por verificar que, de facto, não existe!

SI: Essa consciência existe certamente de forma diferenciada consoante a dimensão das empresas. Em que estado de maturidade se encontram as PMEs?

O estado de maturidade dos processos e mecanismos de segurança nas PMEs, pela nossa experiência, pode ser caracterizado numa palavra: imaturo. Porquê? Porque a segurança dos sistemas de informação, nestas organizações, desde a componente de redes até às aplicações, é entendida como um problema técnico que deve ser endereçado pelos departamentos de informática e, nesse contexto, é endereçado com uma firewall na ligação à Internet e sistemas antivírus nos servidores e postos de trabalho. A segurança, actualmente, não pode estar limitada a estas duas componentes.

No contexto da segurança aplicacional é importante que a mesma seja considerada como uma prioridade desde o primeiro dia por toda a equipa que estará envolvida no desenvolvimento da solução, enquadrada por um forte apoio da organização.

É importante referir, no entanto, que o foco na segurança da informação, em particular no vector da segurança aplicacional, depende mais de factores externos do que, na verdade, da dimensão das organizações – uma empresa estará mais sensível a estes temas, e fará investimentos mais significativos, sempre que:

• for vítima de um ataque, ou verificar que um dos seus concorrentes directos foi vítima de um ataque;
• estiver enquadrada num conjunto de empresas que têm que estar em conformidade com exigências legais ou standards industriais (por exemplo, standards como a PCI);
• os seus clientes exigirem, explicitamente ou implicitamente, a garantia de segurança nas transacções ou a protecção da sua informação e, em particular, se alguns clientes apresentarem queixas relacionadas com eventuais problemas de segurança que tenham identificado e que, assim, mostrem a sua intenção de terminar a utilização dos serviços.

Existe um outro aspecto que é necessário salientar. Na maior parte das vezes, o tecido das PME nacionais é acima de tudo comprador de soluções e sistemas de software, e raramente abraça desenvolvimento próprio. Isto leva-nos a colocar a seguinte questão: quais são as garantias que determinada PME tem que o software que adquire foi efectivamente desenvolvido tendo em conta preocupações de segurança aplicacional? Quem lhe garante isso?

SI: E qual é a “maturidade” da Administração Pública nesta área?

No que concerne aos sistemas de informação da Administração Pública, pensamos que é importante considerarmos que existem, de facto, vários organismos autónomos, responsáveis por partes dos sistemas que são na verdade, independentes. Ou seja, por outras palavras, não devemos considerar, nesta matéria, uma representação da Administração Pública como uma entidade única mas sim, pelo contrário, um conjunto de entidades independentes.

Dito isto, e respondendo directamente à pergunta, a verdade é que, de facto, não temos informação que nos permita aferir, com rigor, a maturidade da segurança na Administração Pública. Porquê? Porque não existe informação, tanto quanto julgamos saber, que apresente indicadores sobre o estado da segurança destes organismos e instituições do Estado Português. Contudo, tendo por base o modelo de organização que referimos, parece-nos legítimo levantar como hipótese, que a maturidade da segurança de cada um dos sistemas de informação seja, por extrapolação, equivalente à que podemos encontrar nas PMEs, salvaguardando, por uma questão estatística, alguns organismos que tenham um grau de maturidade mais elevado que a média, para satisfazer as suas necessidades específicas de segurança.

Convém no entanto realçar que a falta de informação e transparência sobre o nível de segurança de algumas das aplicações e sistemas de software que a maior parte dos cidadãos portugueses são obrigados por lei a usar no seu relacionamento com a Administração Pública (por exemplo, com a Administração Fiscal), podem colocar em sério risco a integridade e a segurança dos dados de empresas e indivíduos que os utilizam.

SI: A gestão de identidades e a utilização de sistemas de autenticação forte ainda não estão tão disseminadas como seria de desejar. Qual a vossa percepção da situação nas empresas portuguesas?

A resposta a esta pergunta tem que ser dividida em duas partes, nomeadamente, no vector da gestão de identidades, por um lado e, por outro lado, no vector da autenticação forte.

Em relação à gestão de identidades, que visa endereçar o problema da gestão de múltiplos identificadores e autorizações, num conjunto alargado de sistemas e aplicações internas, tem vindo a ser feito um esforço, nas organizações de maior dimensão, no sentido de melhorar os processos de gestão de acessos a estes recursos.

Visto de outra perspectiva, e considerando que a gestão de identidades procura resolver, em simultâneo, o desafio da gestão de autorizações – um tema de segurança – e o problema da complexidade da gestão de identidades em inúmeras aplicações – um tema relacionado com processos e custos muito directos em recursos humanos para suportá-los – torna-se fácil compreender o retorno do investimento nesta área. No entanto, é importante referir que, pelas mesmas razões, só as organizações de grande dimensão, que têm um sistema de informação muito complexo, sentem esta necessidade e, claro, podem investir nesta componente.

Em relação à autenticação forte, devemos considerar dois tipos de organizações: as financeiras (ou relacionadas directamente com as instituições financeiras), e todas as outras organizações. Em relação às primeiras, existe claramente uma evolução no sentido da adopção de mecanismos de autenticação forte, utilizados internamente, e pelos seus clientes, em aplicações disponíveis na Internet. Em relação aos demais, o que podemos observar é muito diferente: existem algumas empresas que investem nestes mecanismos para reforçar a autenticação dos colaboradores nos acessos remotos à empresa mas, para além desta utilização – pequena – não existe um reforço visível dos mecanismos de autenticação forte utilizados as aplicações via Internet. Ou seja, a autenticação dos seus clientes continua a depender, exclusivamente, da apresentação de passwords – um mecanismo muito fraco que pode, no curto prazo, dar azo a fugas de informação confidencial e operações ilegítimas que, se acontecerem, podem pôr em causa a confiança dos clientes e, no limite, a viabilidade destas empresas.

SI: Como podem as empresas proteger-se nestes cenários que são também cada vez mais equacionados como formas de reduzir custos?

O grande problema da Segurança de Informação é de que não vende – ou vende pouco. Os clientes muitas das vezes estão mais preocupados com os aspectos mais funcionais e menos preocupados com outros aspectos menos visíveis – a segurança cai nesta segunda categoria. Por existir esta dificuldade, e como já foi referido acima, as empresas de desenvolvimento investem menos na segurança, e os clientes não se preocupam muito com a mesma, assumindo que a aplicação ou sistema de software que adquirem é perfeitamente seguro.

No entanto, este é claramente um aspecto que terá que mudar. As empresas têm que investir mais na segurança dos seus sistemas de informação, em particular na componente da segurança aplicacional, e devem começar, por um lado, a exigir qualidade e certificação de segurança dos produtos fornecidos e, por outro lado, a responsabilizar os fornecedores de sistemas e aplicações pela (in)segurança dos seus produtos e serviços.

A segurança aplicacional não acontece por acaso; não é suficiente perguntar “O seu produto é seguro?” nem “A aplicação que estão a desenvolver irá garantir a segurança?” porque, como é óbvio, a resposta nunca será diferente de “Sim, a segurança está assegurada”.

A título de exemplo, para as organizações que procurem reforçar a segurança das suas aplicações, a OWASP tem um conjunto de recursos que podem utilizar, gratuitamente, para ir ao encontro dessa necessidade. São exemplos:

• OWASP Legal Contract
• OWASP Top 10
• OWASP Open SAMM
• OWASP Testing Guide ,
• OWASP Code Review Guide
• OWASP Developer Guide
• OWASP ESAPI
• OWASP WebScarab – Security testing tool
• OWASP WebGoat – Security learning tool

SI: As pessoas (colaboradores das empresas) são muitas vezes considerados o elo mais fraco das políticas de segurança da informação. Que medidas podem as empresas tomar para se protegerem numa altura em que a Web 2.0 está cada vez mais entrosada nos hábitos?

R: É um facto reconhecido por todos: as pessoas ainda são o elo mais fraco na segurança. Dito isto, parece-nos importante endereçar este problema segundo três vectores, nomeadamente, (a) através de campanhas de sensibilização e formação sobre segurança (e.g. ensinar-lhes que não devem, por exemplo, seguir e activar todas as referências que lhes apresentam por email, nem instalar programas que não sejam fidedignos), (b) reforçar os controlos técnicos de segurança dos sistemas e aplicações, e finalmente, (c) melhorar os processos de gestão da segurança, começando pela revisão das políticas de segurança, e incluindo processos gestão e monitorização dos activos de informação.

No caso particular da segurança aplicacional, é importante frisar que as aplicações e os ambientes mais seguros e resilientes são aqueles que, desde a sua concepção, são desenhados de acordo com o princípio do ‘privilégio mínimo’, ao nível da arquitectura, da composição, e da codificação dos módulos aplicacionais. Neste paradigma, os privilégios e autorizações atribuídos aos utilizadores são restringidos ao mínimo que, por necessidades funcionais das suas tarefas, seja suficiente para poderem executar operações e aceder à informação que for estritamente necessária. Este modelo apresenta características de segurança muito fortes, em oposição àquele que se vulgarizou nos últimos anos, no qual os utilizadores tinham privilégios e autorizações equivalentes aos administradores dos sistemas e aplicações.

Uma das razões que nos leva a afirmar que esta problemática tem que ser endereçada rapidamente, é a nossa percepção que o estado da (in)segurança tem tendência a agravar-se porque, com a passagem de inúmeras aplicações para o modelo web e, no futuro mais próximo, para modelos de computação na nuvem (cloud computing), a informação e as aplicações estarão intrincadamente interligadas e, por consequência, a complexidade das soluções irá crescer exponencialmente. A complexidade, como todos reconhecemos, é um dos factores principais que contribuem para a dificuldade em garantir a segurança da informação.

SI: Quais são na sua opinião os maiores riscos que as empresas enfrentam para proteger a sua informação em 2010?

R: Considerando que tem havido um esforço, reconhecidamente, no sentido de reforçar os controlos antivírus, os filtros de comunicações, e as actualizações de segurança dos sistemas, pensamos que, por essa via, as organizações limitaram o risco de algumas classes de ataques. No entanto, como nem todas endereçaram a componente aplicacional de uma forma adequada, pensamos que existe o risco – real – de serem vítimas de ataques através de vulnerabilidades em aplicações web (ataques personalizados ou automáticos, e.g., através de worms que utilizam SQL Injection). Estes ataques podem ter por resultado a quebra de confidencialidade da informação, operações ilegítimas, indisponibilidade dos serviços, etc.

Note-se que ainda existem muitas empresas que não sabem, quando falamos dos activos de informação dos seus clientes, (a) onde estão localizados, (b) quem tem acesso a esses activos, nem (c) se alguma vez foram comprometidos. É igualmente importante referir que, como não existem regras contratuais que obriguem à publicação de falhas de segurança, não existe informação pública que permita, por um lado, alertar os clientes para a eventual exposição dos seus dados nem, por outro lado, impulsionar o reforço activo dos controlos de segurança da organização, nem dos seus concorrentes, naturalmente.

O problema que as empresas irão enfrentar em 2010 e, provavelmente, em 2011 também, é a mudança do foco dos criminosos. O modelo de negócio tradicional do cibercrime tem sido, nos últimos anos, o spam (suportado por vírus e botnets) e a extorsão (igualmente suportada por botnets, que provocam ataques de negação de serviço – DDoS). No entanto, os criminosos têm vindo a focar a sua atenção nos activos das empresas, nomeadamente, nos activos financeiros e na própria informação. As empresas Portuguesas podem tornar-se presas fáceis para organizações criminosas, que já têm modelos de funcionamento profissional, e que têm competências que lhes permitem, de forma eficiente e com grande eficácia, desenvolver, testar e distribuir aplicações maliciosas que têm, por comparação com as aplicações comerciais que utilizamos diariamente, uma qualidade equiparável às que são realizadas pelas melhores empresas de software do mundo.

Em muitas empresas, a segurança não tem sido posta em causa porque, simplesmente, não têm sido alvo de um número significativo de atacantes. No caso particular das instituições financeiras, o facto é que é difícil, de facto, movimentar grandes somas de dinheiro por vários bancos em todo o mundo.

SI: Quais são as actividades que a OWASP tem vindo a desenvolver e que iniciativas tem previstas para 2010?

R: A OWASP está no epicentro da segurança das aplicações web no mundo, onde as figuras mais importantes e com maior contributo nesta área estão, de alguma forma, ligadas ou directamente envolvidas com o trabalho que é realizado na organização.

Em 2010, a OWASP pretende continuar a desenvolver esforços no sentido de:

• (a) consciencializar as pessoas e as organizações para a necessidade da segurança aplicacional;
• (b) desenvolver ferramentas, documentação e guias para entidades que estejam empenhadas em reforçar a segurança das suas aplicações; e
• (c) aumentar o número de eventos da comunidade, dentro e fora da OWASP.

Alguns tópicos em destaque para 2010:

• Nova versão da OWASP Top 10;
• Nova versão da OWASP ESAPI;
• Múltiplas conferências OWASP em todo o mundo (em 2009 foram realizadas 17);
• Múltiplas reuniões das Delegações (Chapters) OWASP em todo o mundo (em 2009 foram realizadas mais de 100);
• Continuação do trabalho com os Governos, nomeadamente, a continuação das quatro ideias nucleares que foram propostas na conferência IBWAS: “A OWASP desafia os governos mundias a reforçar a segurança aplicacional” (ver o documento em Português*, Inglês ou Castelhano);
• Realização da IBWAS’10 que se irá realizar em Portugal e que irá reunir mais uma vez a Academia e a Indústria na discussão desta problemática e apresentação de soluções;
• OWASP Season of Code 2010, (uma nova versão, com nova arquitectura do OWASP Summer of Code 2008);
• Múltiplas actividades de encontro com a indústria, lideradas pelo OWASP Industry Committee e pelo OWASP Connections Committee;
• Novos materiais para formação e trabalho directo com múltiplas universidades em todo o mundo (liderado pelo OWASP Education Committee);
• Reorganização e re-categorização dos projectos OWASP, visando torná-los mais orientados e prontos para ser utilizados pelas empresas (liderado pelo OWASP Projects Committee).

Gostaríamos também de ter mais envolvimento do Governo Português, da Academia, e da Indústria, nas actividades propostas pela OWASP, uma vez que existem oportunidades, neste contexto, para reforçar a segurança dos sistemas de informação, em colaboração estreita entre todas estas entidades.

A nossa recomendação vai no sentido de se considerar a segurança aplicacional como um vector prioritário e estratégico na segurança da informação e, assim, sugerimos que as organizações atribuam os recursos e a atenção necessários a estes temas para que, no futuro, Portugal possa ser um dos líderes mundiais nesta disciplina, tal como o fez há séculos atrás noutras áreas. Portugal tem os recursos com o talento necessário para contribuir para o reforço da segurança e a protecção dos activos de informação. Esta capacidade, se for utilizada e desenvolvida, pode transformar-se numa fonte de riqueza para o País, através da prestação de serviços para todo o mundo.

Finalmente, a questão que se coloca e que é, sem sombra de dúvida, a mais importante, é a seguinte: Portugal vai esperar que o castelo de cartas se desmorone ou, pelo contrário, vai assumir um papel activo e evitar o colapso?

Conferência IBWAS – Cinco ideias nucleares

1. Desafiamos os Governos a trabalhar com a OWASP no sentido de aumentar a transparência na segurança de aplicações web, particularmente no que respeita aos sistemas financeiros, de saúde e todos os outros onde as questões da privacidade e confidencialidade da informação são cruciais;
2. A OWASP procurará colaborar com os Governos mundiais no sentido de desenvolver recomendações para a incorporação de requisitos específicos de segurança nas aplicações e desenhar procedimentos de certificação adequados à selecção e aquisição governamental de software;
3. A OWASP oferecerá a sua assistência para clarificar e modernizar as leis de segurança informática, por forma a contribuir para que os Governos, cidadãos e organizações possam tomar decisões informadas sobre segurança;
4. A OWASP pedirá aos Governos que encorajem as empresas na criação de standards de segurança de aplicações que, quando utilizados, aumentarão a protecção contra quebras de segurança que podem potencialmente expor informação confidencial e permitir transacções fraudulentas gerando, assim, consequentes responsabilidades legais;
5. A OWASP estará disponível para trabalhar com os Governos regionais e nacionais no sentido de criar

Related posts

• No related posts.

Isto já estava aqui na forja desde o lançamento do iPad e das primeiras reacções, mas entretanto não tinha havido tempo para enviar para o blog. É chegada a altura:

Muita gente tem escrito diversos artigos focando os piores aspectos do iPad, mas se me permitem, acho que existem algumas coisas que merecem mais alguma consideração do que parece à primeira vista. Em particular, gostaria de considerar o seguinte:

1. A questão do Flash: caso não saibam, com a nova versão do HTML, a grande necessidade do Flash passou para segundo plano. Grandes sites como o Youtube e o Vimeo, já têm os vídeos codificados em H.264, o que faz com que os CODEC que estão presentes de raiz nos browser que suportam HTML5, já os consiga abrir sem qq plugin adicional. Por outro lado, para aqueles que têm um Mac sabem que a Adobe fez um péssimo trabalho com o Flash nesta plataforma – o Flash é um consumidor desmesurado de recursos das máquinas… temos pena, mas é a pura das realidades. Eu poria esta questão do Flash nos seguintes termos: qual o futuro que a Web reserva para o Flash?
2. Existe a questão dos jogos em Flash, é certo… mas eu diria que neste momento na App Store existem jogos para todos os gostos… alguns grátis outros pagos, mas não vejo a necessidade de ter jogos em Flash nesta plataforma iPhone-like OS;
3. Ao que parece, a solução para ter aplicações em Flash no iPad e eventualmente no iPhone, é empacotar a aplicação Flash como uma App para iPad/iPhone. Com isto, esta limitação fica resolvida. Resta saber qual será o desempenho destas Apps quando comparadas com as outras.
4. Preço? Acho que o preço é arrasador… se compararmos com o Kindle DX, por exemplo. E este é um dos segmentos que irá interessar à Apple. Comparem lá o que oferece o Kindle DX por $489 e comparem o que oferece o iPad por $499.
5. HP Slate? Sim é de facto um bom tablet e promete muito… mas quanto a mim tem um ponto fraco que não me parece que ninguém tenha focado aqui. Já alguém pensou qual a usabilidade que oferece o Windows 7, tal como está, num interface multi-touch?
6. A câmara não vem integrada… é um facto. No entanto nos acessórios é possível ter um kit de ligação externo USB, ou SD – em minha opinião isto poderia vir já de origem.

Enfim, depois de se ter levantado tanto a fasquia e de se ter criado tanta expectativa à volta deste novo aparelho da Apple (que ao que parece até iria ter a capacidade de fazer tostas mistas, e tirar imperiais fresquinhas, …) também eu acabo por ficar um pouco desapontado com o que foi apresentado.

Acho que a Apple poderia fazer mais com este iPad… mas parece que a estratégia aqui vai ser a mesma do iPhone. Ou seja, lançar uma primeira versão do produto com algumas limitações e depois lançar novas versões.

Em jeito de conclusão, acho que nem tudo é mau, tendo em conta o segmento em que esta primeira versão do iPad se vem posicionar.

Related posts

• Youtube e Vimeo com suporte HTML5 nos vídeos (1)
• WWDC2009 keynote – a minha análise e os meus comentários (8)
• The Snow Leopard experience… (7)
• Rumores, rumores, e … mais rumores! (2)
• Posts a partir do iPhone (2)

Não vou negar… o Safari para Mac OS X continua a ser o meu browser de excelência. Tenho uma série de outros browsers como alternativa: Firefox, Opera e Chrome. Já experimentei por diversas vezes substituir este hábito ao Safari por outro, mas acabo sempre por voltar.

Um dos principais problemas no Mac OS X, em particular nos browsers é uma coisa chamada Flash. O player de Flash para Mac OS X é manifestamente mau. Mau em termos de desempenho… de cada vez que o Flash Player entra em acção, é ver a carga do processador a subir… e muito!

Isto é particularmente mau, quando precisamos de conservar bateria. Com conteúdos em Flash, e com a carga de processador a subir, é ver o tempo de bateria a decrescer.

A Adobe lançou uma nova versão do seu player Flash (que ainda não é uma release oficial) e que melhora consideravelmente este problema. A versão 10.1 é bastante melhor na poupança dos recursos da nossa máquina… vale a pena instalar (e espero que a versão final seja ainda muito melhor).

Por outro lado, existe uma excelente extensão para o Safari (via SIMBL) que permite deixar ao utilizador a escolha de ver ou não conteúdo Flash nas páginas web. Muito bom.

Esta extensão dá pelo nome de Click2Flash, e aconselho vivamente a sua instalação. Por outro lado, a versão mais recente do Click2Flash, permite que se possam definir entre outras coisas, o seguinte:

• quais os sites que podem carregar conteúdos Flash automaticamente;
  
• no Youtube dá para definir se carregamos os vídeos H.264 com o Quicktime ou com o Flash Player.
  

Related posts

• Safari 3.1, Firefox 3b4 ou Opera 9.5b (8)
• Youtube e Vimeo com suporte HTML5 nos vídeos (1)
• Xmarks para Safari no Snow Leopard (0)
• Problema aborrecido entre o Firefox 3 e o Google Maps (2)
• O tema (recorrente) da segurança do Mac OS X (47)

Hoje não é só o dia em que o Mundo vai começar discutir as vantagens e desvantagens do iPad da Apple… é igualmente o Dia Europeu da Protecção de Dados (ou Dia Europeu da Privacidade dos Dados).

Numa altura em que as redes sociais enchem a Web, e em que milhões e milhões de utilizadores partilham a sua informação pessoal, as suas actividades diárias, as suas fotografias e vídeos, os seus próprios gostos e preferências pessoais, convém para um pouco e pensar: quem e o quê estará a visualizar e a utilizar toda esta informação que está a ser disponibilizada. E acima de tudo para quê?

Redes como o MySpace, o Hi5, Youtube, Twitter, Flickr, Facebook, Tumblr, e tantas outras será oferecem mecanismos de protecção e de privacidade para os seus muitos milhões de utilizadores. O Google, o maior monopolista mundial de informação, quais as preocupações de privacidade que na verdade implementa?

Qual o impacto que a impessoalidade imposta pelas TIC tem nas pessoas e no facto de que existe pouca consciência do que se passa do “outro lado do computador”.

“A privacidade é um direito humano – desfrute do mesmo com cuidado”.

Data Privacy Day is an international celebration of the dignity of the individual expressed through personal information. In this networked world, in which we are thoroughly digitized, with our identities, locations, actions, purchases, associations, movements, and histories stored as so many bits and bytes, we have to ask – who is collecting all of this – what are they doing with it – with whom are they sharing it? Most of all, individuals are asking ‘How can I protect my information from being misused?’ These are reasonable questions to ask – we should all want to know the answers.

Deixo-vos aqui alguns links com mais informação sobre o evento:

• EDPS statement and activities on the occasion of Data Protection Day (28 January 2010)
• European Data Protection Supervisor
• Data Protection Day site
  
• Resources Site for Data Privacy Day 2010
  
• Tips for protecting personal privacy online

Related posts

• No related posts.

Hoje é dia 27 de Janeiro. E o que tem esta data especial?

Aparentemente nada, mas pode vir a ter. É o dia que a gigante Apple escolheu para mais um dos seus eventos surpresa em que acaba por revelar as suas mais recentes novidades. Desta vez não será excepção…

Mas o que parece “excitar” a maior parte da comunidade geek Apple, a mim não me entusiasma muito. Não nego que um tablet feito pela Apple com base no iPhone, pode ser muito interessante, em especial se considerarmos que o mesmo pode potenciar o mercado de conteúdos digitais (livros e imprensa – jornais e revistas digitais), mas será um mercado “fechado” com um único ponto de entrada – a loja do iTunes.

Como é óbvio os campos de aplicabilidade não se esgotam com o exemplo acima. Estou igualmente a pensar em aplicações relacionadas com saúde e medicina, força de vendas, etc…

• Uma nova versão do iWork: uma nova versão do iWork, que tivesse a “coragem” de implementar suporte para o ODF, e que fosse mais compatível com as restantes versões de software Office do mercado. Ainda faltam algumas features ao Numbers e ao Pages para serem os meus programas de Office de eleição no Mac, e que seria uma verdadeira surpresa agradável para mim se a Apple os apresentasse – o Keynote, esse está bem e recomenda-se (tirando esse aspecto de interoperabilidade com outros formatos);
  
• Uma nova versão do iPhone OS: uma nova versão do iPhone OS que permite colmatar algumas das “deficiências” que esta versão actual tem. O que faria mesmo falta a meu ver: um novo home screen (com a possibilidade de criar grupos de aplicações), um novo lock screen, com a possibilidade de acesso a mais informação (sms, emails, calendário, tempo, etc.), multi-tarefa e aplicações a correrem em background e finalmente um novo sistema de notificações no iPhone, ao invés da janela central;
  
• Finalmente, um novo iPhone, que trouxesse um conjunto de novas características de hardware, essencialmente em termos de câmara (ou câmaras) – resolução, melhor tempo de duração da bateria (ou a possibilidade de a substituir), e (ainda) maior capacidade de armazenamento.
  

Depois das 18h00 já ficaremos a saber quais os segredos que serão finalmente revelados hoje.

Related posts

• Rumores, rumores, e … mais rumores! (2)
• Posts a partir do iPhone (2)
• Já está… tenho o iPhone OS 3.0… e agora? (11)
• Google lança o Nexus One (0)
• Eu bem quero… (2)

Saiu hoje um artigo na Semana Informática, no qual a OWASP Portugal teve a oportunidade de colaborar, em conjunto com o Dinis Cruz (líder OWASP) e com o Miguel Almeida (Consultor Independente de Segurança). Não deixa de ser curioso, que nestes artigos em que nos solicitam a nossa colaboração e nos colocam inúmeras perguntas, que na verdade deram origem a cerca de 8 páginas A4 de respostas, apenas acabam por publicar uma opinião muito sucinta do mesmo. Mas o mais importante mesmo, é termos conseguido colocar lá (parte) da nossa opinião.

Basicamente a nossa posição é muito simples… o mercado de desenvolvimento de aplicações de software software, não tem em linha de conta as preocupações de segurança, o que acaba por provocar que as aplicações lançadas no mercado, não oferecem todas as garantias de segurança necessárias.

Isto acaba por ser mais problemático para as PME que não têm a capacidade quer interna, quer externamente de poderem assegurar-se das condições de segurança das aplicações e sistemas que usam no seu dia a dia, nem conseguem tomar decisões nesse sentido aquando da aquisição desses mesmos sistemas.

Por outro lado, a entrevista acaba por focar outro factor importante que tem que ver com a falta de formação disponível, que prepare programadores e engenheiros de software para o desenvolvimento de aplicações com segurança. Estes não os únicos motivos, mas são os únicos que foram considerados aquando da elaboração do artigo por parte da revista.

De qualquer é uma leitura interessante. Podem encontrar o artigo on-line aqui.

Related posts

• No related posts.