Assim, um Extended Validation Certificate (EVC) é um certificado digital X.509 especial. Basicamente exige por parte da entidade emissora do certificado digital (a CA) uma validação muito mais exaustiva da entidade que está a requisitar o certificado digital. Os requisitos que são estabelecidos para a emissão destes certificados são os seguintes:

• Deve ser possível estabelecer a identidade legal, assim como a presença operacional e física do detentor do site de web;
• Deve ser possível estabelecer que o requerente do certificado é o dono do domínio e que detém o controlo exclusivo sobre esse mesmo domínio;
• Deve ser possível confirmar a identidade e a autoridade dos indivíduos que actuem como os detentores do site, e que todos os documentos recorrentes das obrigações legais estejam devidamente assinados por ume entidade autorizada.

Como em todos os processos de certificação, o objectivo principal é o de estabelecer uma relação de confiança entre a entidade que apresenta o certificado digital e aquela que o recebe. No caso dos EVC, essa confiança é maior, uma vez que a CA, antes da emissão do certificado digital que está a ser apresentado, procedeu a um escrutínio maior da entidade solicitadora.

Os critérios que são usados para emitir este tipo de certificados estão definidos neste documento, e são produzidos pela CA/Browser Forum, uma organização composta pelas principais CAs comerciais, distribuidores de browsers web e de outro software de Internet, assim como representantes de profissões de auditoria e de índole legal.

Esta funcionalidade de verificação de EVC está presente nos principais browsers de web, a saber:

• Internet Explorer 7
• Safari 3.2
• Opera 9.5
• Firefox 3
• Google Chrome

(no Safari 3.2)

(no Opera 9.5)

(no Firefox 3)

O preço destes EVC é elevado. A título de exemplo, a Verisign comercializa estes certificados e os preços praticados estão bem acima dos 1000 dólares por ano.

Infelizmente existem algumas coisas que o Firefox tem que o Safari não tem, e das quais sinto falta - a possibilidade de adicionar novas funcionalidades ao browser é uma delas. Mas enfim… moving on!

Esta nova versão do Safari traz uma nova funcionalidade de segurança, que pretende combater o phishing. Ao estabelecerem uma ligação SSL (HTTPS), do ponto de vista visual, se olharem para a vossa janela do Safari, no canto superior direito, o Safari apresenta-vos agora, não apenas o tradicional cadeado, assim como o nome da entidade detentora do certificado digital que foi apresentado pelo vosso browser, a verde.

Se “clicarem” com o rato em cima do nome da entidade, aparece-vos a tradicional janela com informação detalhada sobre o certificado digital que foi apresentado.

Por outro lado, o Little Snitch acusou de imediato que o Safari estava a tentar estabelecer ligação com o servidor de OCSP para validar o certificado X.509 apresentado aquando do estabelecimento da ligação SSL.

• Introduction to OWASP, by Jeff Williams
• OWASP Top Ten, by Jeff Williams
• OWASP Enterprise Security API (ESAPI), by Jeff Williams
• LDAP, XML and SQL Injection, by Marcos Slaviero
• LDAP injection demo, by Marcos Slaviero
• XML injection demo, by Marcos Slaviero
• SQL injection demo, by Marcos Slaviero
• Clickjacking, by Arshan Dabirsiaghi
• Clickjacking demo, by Arshan Dabirsiaghi
• Phishing demo, by Matt Tesauro and Brad Causey
• Training sessions overview, by Mano Paul

Eu próprio acabei por dar duas entrevistas - uma para o Semanário e outra para o Correio da Manhã.

Infelizmente a entrevista do Correio da Manhã é aquilo que considero, no mínimo, “um tiro totalmente ao lado”. Depois de termos estado a falar mais de 20 minutos com o jornalista, o resultado final foi um autêntico desperdício de tempo da nossa parte - uma página com pouco conteúdo, uma manta de retalhos, que liga coisas sem grande ligação e que mistura “alhos com bogalhos”.

Enfim…

Felizmente existem bons exemplos, como a entrevista do Semanário e a do Expresso.

Depois de uma semana de árduo trabalho, mas que deu para aprender bastante assim como para conhecer uma série de pessoas da área de segurança aplicacional de todo Mundo, chegou ao fim o primeiro Summit organizado pelo OWASP e logo no nosso país. Foi um evento bem sucedido, e que cumpriu os seus objectivos principais, e para isso estão de parabéns os seus principais organizadores - Dinis Cruz, Paulo Coimbra e a Kate Hartmann.

Apesar das conclusões oficiais do Summit ainda não estarem publicadas, resolvi eu próprio colocar aqui as minhas próprias conclusões (um pouco tardias, mas pronto).

O evento em si foi um sucesso de participação. Conseguiu reunir num hotel no Algarve, durante uma semana, mais de 80 especialistas na área da Segurança de Aplicações, provenientes de mais de 20 países e dos mais diversos continentes.

Por outro lado, para além das excelentes sessões de trabalho e das diversas sessões de formação, o evento foi igualmente um sucesso do ponto de vista de contactos pessoais, promovendo o contacto directo entre as mais diversas pessoas e permitindo a troca de informações.

Foi igualmente uma surpresa agradável conhecer o Dinis Cruz, um indivíduo cujas “pilhas” jamais se esgotam - quer do ponto de vista da dinamização do trabalho, quer do ponto de vista da dinamização da socialização entre os diversos participantes (jogos de futebol todos os dias depois de dias longos de trabalho, jantares não menos longos e a demonstração de talentos musicais). Fantástico, sem dúvida!!!

Durante esta semana o OWASP produziu uma série de novas ideias. A comunidade OWASP está acrescer a a organizar-se num movimento poderoso que está a afectar o desenvolvimento de software a nível global. Este Summit estabeleceu um marco importante nos esforços de melhoria da segurança aplicacional. Podem citar-se como principais resultados do Summit os seguintes:

• Novas ferramentas e documentação - durante o Summit, a OWASP anunciou o Live CD 2008, novas ferramentas de teste, ferramentas estáticas de análise, a Enterprise Security API (ESAPI v1.4), AntiSammy, o Application Security Verification Standard (ASVS), guia para o Ruby on Rails e CLassic ASP, versões internacionalizadas dos materiais OWASP e muito mais;
• Novos programas de divulgação e disseminação - a OWASP anunciou que irá expandir os seus esforços de disseminação através do estreitamento de relações com vendedores de tecnologia, fornecedores de frameworks, e entidades de normalização. Igualmente, a OWASP estabeleceu um programa que permitirá oferecer seminários gratuitos em conferências, seminários ou universidades;
• Nova estrutura organizativa global - a OWASP reconhece a extraordinária contribuição de alguns dos líderes mais activos, atribuindo-lhes um papel mais activo na gestão do OWASP, permitindo-lhes liderar novos comités dentro do OWASP. Cada um destes comité estará centrado numa função-chave ou numa região geográfica, tais como projectos OWASP, conferências, chapters locais e disseminação industrial.

Outro dos principais resultados do OWASP EU Summit é a aposta na Educação. Um dos projectos mais importantes da OWASP passa pela formação, quer de utilizadores, gestores e arquitectos e programadores de aplicações para um conjunto de boas práticas quer de utilização, concepção e desenvolvimento de aplicações com segurança. A OWASP pretende, através de um estreitamento de relações com a Universidade e com outras entidades de formação, lançar um conjunto de programas de formação específica na área da segurança aplicacional, como uma forma de formar profissionais competentes no desenvolvimento de aplicações seguras, que possam estar preparados para integrar o mercado de trabalho com novos desafios.

Por outro lado a OWASP está preocupada com o aparente alheamento de entidades nacionais para a problemática da segurança aplicacional. Com a decisão decisão do nosso governo em apostar, e na minha opinião, bem, em novas tecnologias de informação, aproveitando-as para melhorar o relacionamento entre a Administração Pública e os cidadãos e entre os diversos organismos da própria AP, parece existir uma ausência de uma verdadeira avaliação das ameaças existentes para as múltiplas aplicações da AP disponibilizadas através da Web. Isto pode originar alguns problemas pois a falta de uma avaliação concreta sobre da segurança dos mesmos pode dar origem ao possível compromisso das aplicações e da informação dos cidadãos.

No final deste encontro surge reforçada a ideia principal e verdadeira motivação do OWASP existir que é a partilha de conhecimento. A OWASP sempre patrocinou e vai continuar a patrocinar a abertura dos seus documentos e das suas ferramentas, como um importante catalisador de novas ideias que possam ser incorporadas no futuro. O que a comunidade dá ao OWASP, o OWASP devolve à comunidade de forma livre e gratuita – conhecimento e inovação.

No seu geral, o Summit foi bastante interessante e produtivo. Foi, do ponto de vista pessoal, uma experiência muito gratificante e que contribui definitivamente para o (re)lançamento do OWASP Portugal.

• Clickjacking
• LDAP injection
• SQL injection
• XML injection

Depois coloco aqui mais informação sobre e sobre as principais conclusões do Summit.

Uma das tarefas que nos foram incumbidas, foi a selecção de alguns dos principais especialistas presentes no Summit, e gravar pequenos vídeos com eles sobre diversos aspectos do OWASP e de alguns dos ataques mais comuns na Web.

• Introdução ao OWASP
• Apresentação do OWASP Top Ten
• Apresentação do OWASP Enterprise Security API (ESA)
• SQL, XML e LDAP Injection
• Phishing
• Clickjacking.

Assim, e visto que hoje não houve tempo para mais, aqui ficam alguns dos vídeos (entretanto já carregados para o Youtube). Mais alguns vídeos estarão disponíveis posteriormente…

Introdução ao OWASP, by Jeff Williams

Apresentação do Top Ten, by Jeff Williams

OWASP Enterprise Security API (ESAPI), by Jeff Williams

(prometo que depois coloco aqui os vídeos mais interessantes – ou seja aqueles que demonstram os ataques)

Depois tivemos o David Meucci, da OWASP Itália, sobre o “OWASP Testing Guide – version 3”. Este é um dos projectos de documentação do OWASP, que serve para ajudar os programadores de aplicações web na realização de testes de segurança a essas mesmas aplicações. Esta nova versão do testing guide acrescenta mais algumas secções interessantes (nomeadamente de Configuration Management testing).

Eis a forma como testing guide está integrado no restante stack de documentação OWASP. As restantes apresentações percorreram um pouco a restante documentação deste stack.

A segunda apresentação da manhã (no track de Documentação) foi-nos trazida por Eoin Keary, sobre o trabalho realizado pelo OWASP no OWASP Code Review Guide. Este trabalho demonstra como integrar em diversas fases do Ciclo de Vida de Desenvolvimento de Software (Software Development Life Cycle - SLDC), um conjunto de boas práticas de análise de código, como uma forma de detectar problemas de segurança, e de os resolver o mais cedo possível no SLDC. Um dos aspectos importantes da qualidade final do produto desenvolvido (aplicação web, web-service, ou qualquer outra aplicação) é a segurança do mesmo. O OWASP tem alguns projectos a desenvolver algumas ferramentas que podem ser usadas para automatizar este processo de revisão de código.

De seguida, Leonardo Cavallari, do Brasil, fez uma apresentação sobre o Application Security Desk Reference (ASDR), que não é mais do que documentação de suporte a todos os outros projectos de documentação do OWASP, servindo como uma espécie de glossário inicial sobre os principais termos e problemas segurança que são cobertos pelo OWASP, e a ligação para documentação mais aprofundada sobre os mesmos.

Seguiu-se um aspecto aspecto muito importante para o OWASP Portugal – uma apresentação sobre o projecto de tradução da documentação OWASP para Espanhol. Este é um projecto importante para a OWASP Portugal, pois este pode (e provavelmente será) o primeiro tipo de contribuição que a OWASP Portugal poderá oferecer ao OWASP, a tradução de conteúdos OWASP para português. Este é um projecto que tem igualmente importância para os brasileiros que estão já muito activos nesta área, e inclusivé já arrancaram com alguma tradução. Penso que faz todo o sentido podermos juntar os esforços e podermos contribuir para essa mesma tradução – afinal de contas, o português é igualmente uma das línguas mais faladas a nível mundial.

A última sessão de apresentações matinal foi sobre um projecto OWASP que se chama .NET ESAPI (Enterprise Security API). Este projecto está a a desenvolver uma framework em .Net para o desenvolvimento seguro de aplicações em .Net.

Ainda antes do almoço (se é que lhe podemos chamar almoço, pois por aqui o pessoal não pára) ainda houve tempo para começar o working session sobre os diversos projectos de documentação e começar a trabalhar numa versão mais integrada dos mesmos. Pelo meio da sessão, o almoço, no modelo “Grab a sandwich and please go back to your session real fast!”.

Da parte da tarde, voltaram as sessões de treino. Duas sessões de treino muito interessantes:

1. The Art and Science of Threat Modeling Web Applications, onde se falou sobre um conjunto de boas práticas para avaliar e medir as ameaças que estão envolvidas na concepção de aplicações Web. Falou-se igualmente do modelo D.R.E.A.D. (Damage, Reproducibility, Exploitability, Affected Users, Discoverability) como uma boa forma de quantificação das ameaças.
2. Offensive WebApp Hacking (acho que o nome diz tudo), uma sessão prática em que foram demonstradas diversas técnicas que permitem comprometer a segurança das aplicações web.

No final do dia, nada melhor do que um jantar “a la OWASP”. Foram selecionados um conjunto de apartamentos, e encomendou-se a jantarada para o pessoal poder continuar a conversar e de certa forma a trabalhar para estabelecer uma boa rede de contactos e parcerias.

E este foi o dia de hoje. O de amanhã promete ainda mais.

O meu primeiro dia no OWASP Summit, foi essencialmente marcado por uma sessão de treino, dada por Mano Paul, sobre “WebSec Apps for Managers and Executives”. Esta apresentação (acção de formação) foi essencialmente interessante por dois aspectos principais:

1. Pelas dicas interessantes na apresentação do Mano Paul, sobre como “vender” a Segurança a gestores e a executivos. É óbvio que a expressão “vender” não é a mais adequada nem a mais correcta, mas sim a forma de conseguir passar a mensagem e a necessidade de segurança (especialmente do ponto de vista aplicacional) na organização e nos sistemas e aplicações da mesma;
2. O segundo aspecto interessante desta apresentação foi igualmente a comparação estabelecida entre a forma como  os organismos naturais (existentes na própria Natureza) actuam e a comparação com alguns princípios básicos de segurança, e como os mesmos podem beneficiar do estudo do comportamento destes mesmos organismos. Estes conceitos são de facto muito importantes e podem ser aprofundados no livro “Natural Security” da autoria de Raphael Segarin.

A finalizar o dia de hoje, Dinis Cruz, Chief OWASP Evangelist, fez uma apresentação sobre como iria ser os restantes dias do evento, das alterações/ajustamentos que foram realizados à agenda, e fez a apresentação pública e o agradecimento a todos os elementos que participaram na organização do mesmo.

Aqui ficam algumas fotos deste primeiro dia do evento (lamento a má qualidade das mesmas, o telemóvel não dá para mais).