Saiu a release candidate do Owasp top 10, 2010!

O PDF estava no meu e-mail há alguns dias, mas só hoje consegui dar uma atenção.

O Owasp Top 10 é uma lista dos principais riscos aos quais as aplicações web estão submetidas. A escolha desses riscos é feita através da metodologia do projeto Owasp, bastante completa e amplamente discutida.


Veja os top 10 de 2010:
* Preferi não traduzir o nome das falhas por que é mais fácil encontrar referências sobre elas em inglês.

A1 Injection
Brechas de injeção, como as de SQL, Sistema Operacional, e LDAP, ocorrem quando dados não confiáveis são enviados a um intepretador como parte de um comando ou query. Os dados hostis do atacante podem enganar o interpretador fazendo-o executar comandos indesejpaveis ou acessando dados não autorizados.

A2 Cross Site Scripting (XSS)
Brechas de XSS ocorrem sempre que uma aplicação usa dados não-confiáveis e os envia para um browser se a devida validação e tratamento (scaping). XSS permite que o atacante execute scripts no browser da vitima, que pode sequestrar sessão de usuário, deformar web sites, ou redirecionar o usuário para sites maliciosos.

A3 Broken Authentication and Session Management
Funções da aplicação relacionadas a autenticação e gerenciamento de sessão são mal implementadas com freqüência, permitindo atacantes a comprometer senhas, chaves/índices, tokens de sessão, ou explorar brechas de implementação para assumir a identidade de outros usuários.

A4 Insecure Direct Object References
Uma referência direta a um objeto ocorre quando um desenvolver expõe a referência a implementação de um objeto interno, como um arquivo, diretório, ou índice de banco de dados. Se uma verificação de controle de acesso ou outra proteção, atacantes podem manipular estas referências para acessar dados não autorizados.

A5 Cross Site Request Forgery (CSRF)
Um ataque de CSRFG força o browser de uma vitima logada a enviar uma requisição HTTP forjada, incluindo o cookie de sessão da vítima e qualquer outra informação de autenticação, para uma aplicação web vulnerável. Isto permite que o atacante force o browser da vitima a gerar requisições que a aplicação vulnerável pense que sejam requisições legítimas da vítima.

A6 Security Misconfiguration
Segurança depende da existência de uma configuração segura bem definida para a aplicação, framework, web server, application server, e plataforma. Convém que todas estas configurações sejam definidas, implementadas e mantidas uma vez que muitas não são distribuídas com padrões seguros pré-definidos.

A7 Failure to Restrict URL Access
Muitas aplicações web verificam direitos de acesso antes de renderizar links protegidos e botões. No entanto, aplicações precisam realizar controles de acesso similares quando estas páginas são acessoas, ou atacantes estará hábeis a forjar URLs para acessar essas páginas escondidas de qualquer forma.

A8 UnvalidatedRedirects and Forwards
Aplicações web redirecionam e encaminham usuário para outras páginas e websites com frequência, e usam dados não-confiáveis para determinar o destino das páginas. Sem a devida validação, atacantes podem redirecionar vítimas para sites de phishing ou malware, ou use os encaminhamentos para acessar páginas não autorizadas.

A9 Insecure Cryptographic Storage
Muitas aplicações web não protegem devidamente dados sensíveis, como números de cartão de crédito, SSNs (Números de seguridade social), e credenciais de atenticação, com algoritimos de encriptação e hashing apropriados. Atacantes podem usar estes dados mal protegidos para conduzir furto de identidade, fraude de cartão de crédito, ou outros crimes.

A10 Insufficient Transport Layer Protection
Aplicações falham frequêntemente ao encriptar seu tráfego de dados em rede quando é necessário proteger comunicações sensíveis. Quando elas fazem, as vezes utilizam algorítmos fracos, certificadas expirados ou inválidos, ou não os usam corretamente.

Veja descrições completas das falhas, assim como exemplos, e técnicas e ferramentas que podem ser usadas para mitigar ou eliminar esses riscos.

VIA DIGITAL FECHA NEGÓCIO COM PORTAL DO SOFTWARE PÚBLICO

Olha que notícia interessante. Eu me formei ouvindo quase que diariamente informações sobre o ViaDigital, um projeto tocado na UFSC por um cara que é meu vizinho (mora aqui no condomínio) e foi meu professor, o Delucca. Tinha um colega na minha sala (o Jonatas) que trabalhava com o Delucca no ViaDigital.

O Projeto VIADIGITAL www.viadigital.org.br vem estimulando e aproximando as prefeituras, estudantes, universidades e empresas do setor de TIC, em torno da oferta de soluções de software livre para as prefeituras. A intenção do projeto
é fortalecer o desenvolvimento tecnológico, a geração de oportunidades de negócio, de emprego e renda, de capacitação e informação, e de evolução dos softwares de gestão para os municípios.

A parceria tem como proposta incorporar no Portal do Software Público Brasileiro www.softwarepublico.gov.br a experiência do projeto Via Digital na relação com
os municípios brasileiros, atuando de forma integrada, articulada e cooperada. O Professor De Lucca, da UFSC, considera que o acordo será extremamente útil porque permitirá ampliar a aproximação da comunidade acadêmica e de software livre com os problemas da informatização das prefeituras e, ao mesmo tempo, fornecer para os gestores públicos municipais uma referência inequívoca para a busca de soluções sólidas e seguras visando a melhoria do atendimento da população.

A proposta surge em função da necessidade interna do setor público buscar cada vez mais soluções para compartilhamento, colaboração e cooperação, com objetivo de diminuir os esforços redundantes, reduzir os custos similares, reaproveitar as soluções existentes, aumentar a produtividade e usufruir dos benefícios de ações cooperadas, atividades que o Portal do Software Público vem cumprindo na prática.

De Lucca complementa dizendo que o grande beneficiário será o empreendedor
local, aquele que presta serviços para pequenas prefeituras, pois ele também
terá segurança na adoção de softwares públicos disponíveis no portal SPB
e terá as comunidades virtuais e o Mercado Público Virtual www.mercadopublico.gov.br como parceiros de negócio.

O acordo faz parte da iniciativa da Secretaria de Logística e Tecnologia
da Informação - SLTI, órgão ligado ao Ministério do Planejamento, Orçamento e Gestão, de incentivar o uso das soluções disponíveis no Portal pelas prefeituras brasileiras, com o propósito de apoiar a modernização da gestão municipal.

Esta notícia eu recebi por e-mail, pela newsletter do Portal do Software Público Brasileiro.

Fuel

Em épocas de petróleo a US$ 135,00 / barril, ações de petrolíferas nas alturas, uma imagem quer dizer muito.

Li uma reportagem no Valor Econômico dizendo que há certos campos de petróleo no Oriente Médio que são essenciais para o funcionamento das tropas americanas naquelas bandas e que aprox. 20% dos gastos das forças armadas americada é com combustíveis.

Quanto menos petróleo, mais bombas para poder lançar mais bombas.

A imagem eu ratei do blog do Ulysses (Esquerda Festiva).

Descontinuando...

Estou parando com as atividades do Cirque Du Lelé.
Mas calma. É por um ótimo motivo: estou trocando de blog.

Não é seis por meia dúzia. Acontece que a Da Caverna inaugurou neste final de semana um blog no Kzuka, um dos veículos do Grupo RBS, e é lá que vou passar a escrever com freqüência. Afinal, era uma oportunidade que nós Da Caverna não poderíamos perder: a de pescar várias e diversificadas cabeças através de um meio amplamente divulgado e visualizado.

Neste blog vou manter apenas os posts relacionados a política. Tudo o que eu escrevia sobre cultura e até sobre tecnologia tem tudo haver com o trabalho Da Caverna ou com a minha identidade e criação, assim como de meus irmãos Vina e Vitor (ou seja, com Da Caverna), por isso será escrito lá no Kzuka. Já sobre política são opiniões muito pessoais e não convém misturá-los com os ideais da banda.

Você poderá acompanhar o Blog Da Caverna pelo site da banda (www.dacaverna.com.br) ou por aqui. Pega lá o endereço do RSS e adiciona no seu feed reader. Comenta, manda e-mails, fala mal, fala bem, mas se junte a Da Caverna e faz daquele espaço o seu espaço.

Esses anos 80...

Entre uma pesquisa e outra pelo Google procurando algumas coisas do trabalho, vejam só o que eu encontrei.

No final dos anos 80 eu não sabia ler nem escrever, tomava mamadeira e chupava dedo (e se eu toco bateria hoje, agradeçam a esse maldito hábito que me entortou os dentes) mas já mandava bem no River Raid no Atari. E eu lembro muito bem que um tio meu tinha uns cartuchos proibidos. Só pra adultos.

Taí o que eles escondiam da gente:


É um programete (em inglês) comentando sobre alguns jogos-pornô do Atari. São toscos, mas o legal é a criatividade que a malucada tinha pra fazer (e vender) jogos - porque com certeza devia vender bastante, ou vocês acham que video-game é coisa de criança?

Bizarro!

Pra quem quiser matar a saudade, aqui você pode baixar um emulador pra Atari. E neste site você encontra vários ROMs, que são arquivos-jogos para serem executados no emulador (inclusive os citados no vídeo acima - óbvio que eu procurei e baixei pra jogar).

Rural Rock Fest 2008...

O negócio tá esquentando. Quem ainda não viu, assita agora aos vídeos do Sarcastico.com.br, criados por Bianca Chiaradia, Pauli Mizhaji e Tiago Skárnio.




Tem vários shows de várias bandas, gravadas pelo grande e eterno amigo Dias, lá de Herval D'Oeste (a incorporação está desabilitada e como são vários vídeos, melhor navegar lá no perfil do Dias mesmo).

E em maio... Transito Musical especial. Por Antônio Rossa. Já estou com água na boca.


Em maio provavelmente vai rolar a primeira festa pós-Rural com produção do Rural Rock Fest. Este ano as coisas vão ser diferente pra no ano que vem o negócio pegar mais embaixo. Fique de olho.

Michê

Já não é novidade nenhuma, mas quem não acompanha o blog do Marquinhos, nem do Antônio Rossa, nem do Ulysses, nem do Weiss (será que esqueci de alguém?), talvez ainda não tenha visto este video.

Está "fresquinho" na rede (desde 29/03 - sábado). Foi oficialmente lançado na quinta-feira (para o público, porque um punhado de jornalistas privilegiados já o assistiram na quarta, na coletiva de imprensa) lá na Célula. Eu estive presente pra assistir de primeira mão (não dava pra esperar sair no YouTube depois da bela divulgação que a rapaziada fez). Sem contar que lá rolou também o making off do clipe, com bastante informação interessante e algumas partes engraçadas das cenas, invisíveis no filme finalizado (pena que não estou encontrando no YouTube, imagino que os SSC não tenham colocado ainda).

Da Caverna está trabalhando num video-clipe também. Agora que a Samambaia botou o Michê na roda, o peso aumentou pra gente pois não podemos deixar cair a petaca da qualidade da produção clubedalutana. Aerocirco já tinha lançado em 2007 o clipe de Ser Quem Sou, que tem o roteiro elaborado pelo próprio Jean Mafra, da SSC. Sei que Gubas & Os Possíveis Budas estão no meio do processo também.

Dalhe 2008! As coisas estão empolgantes por aqui. Aguardem e confiem. Por enquanto, curte aí: Michê.


Tem também a última edição do Transito Musical, programa do Antônio Rossa, gravado lá na coletiva de imprensa e com vários comentários de pesos pesados do jornalismo cultural e da própria cena artística catarinense. Vale uma olhada: