28 de outubro de 2014

2º encontro do Capítulo OWASP RJ - 19 de Novembro/2014

Dia 19/11/2014 às 18h

Topic 1: WEBGoat como ferramenta de aprendizado do funcionamento de vulnerabilidades Web
Who: Luiz Vieira. (@hackproofing) - Atua em Fraud Investigation e Forensic Technologies, bem como com Teste de Invasão em Redes e Aplicações, Análise de Malwares e ministra diversos treinamentos em diferentes área de segurança da informação. É dono do blog hackproofing.blogspot.com. Treinou centenas de alunos de diversas áreas de atuação, tais como Exército, Força Aérea Brasileira, Marinha, DICAT-DF (Divisão de Investigação de Crimes de Alta Tecnologia, da Polícia Civil), MPF e Polícia Federal. palestrou em diversos eventos como You Shot The Sheriff, FISL, LinuxCon, BSides, VOLDay e etc. Possui as seguintes certificações: COBIT, ITIL, ISO 27002, LPI, CEH, CHFI, ACE, OSCP, OSCE, GXPN, CFE.

Topic 2: Segurança da Votação Eletrônica Brasileira - uma Análise Crítica
Who: Paulo Pagliusi. (@ppagliusi) - Considerado um dos Consultores mais renomados do País nas áreas de Cibersegurança Estratégica, Segurança de Computação em Nuvem, Criptografia Aplicada à Defesa, Espionagem & Contrainteligência na Internet, Paulo Pagliusi é um dos palestrantes mais requisitados atualmente, tendo se apresentado em mais de 200 eventos. Consultor Ph.D. in Information Security, pela Royal Holloway, University of London, Mestre em Ciência da Computação pela UNICAMP, Pós-Graduado em Análises de Sistemas, pela PUC - RJ, Paulo Pagliusi é também CEO da MPSafe Cibersecurity Awareness, Vice-Presidente da CSABR (Cloud Security Alliance Brasil) e Diretor de Pesquisas da ISACA (Information Systems Audit and Control Association), Rio de Janeiro, onde obteve a certificação CISM (Certified Information Security Manager).
Who: Frederico Kasprzykowski, sabe uma coisa ou outra sobre segurança e privacidade da informação. Trabalha com TIC desde 1986 nos EUA e Brasil.

Topic 3: Você entrega software seguro? Conhecendo boas práticas para criar e manter um processo corporativo de segurança de aplicações web.
Who: Romulo Soeiro (@soeiro_santos) - Desenvolvedor de software com 10 anos de experiência em mercado web, sendo 6 em desenvolvimento corporativo utilizando plataforma Java EE. Atuou em diversos projetos críticos na esferas públicas estadual e federal. Atualmente trabalha como consultor e desenvolver em grandes projetos da iniciativa privada. Possui MBA em Sistemas de Informação pela UFF e também estudou Arquitetura e Segurança de Aplicações Web na NYU.

Topic 4: Desenvolvimento (IN)seguro
Who: Carlos Eduardo Santiago - Analista de segurança sênior especializado em segurança de aplicações e responsável pela área de Pentest/Pesquisa na Site Blindado. Possui experiência como desenvolvedor web, analista de TI, consultor de segurança. Também é professor convidado da banca de teses do curso de Redes da Unip - Tatuapé SP. Este ano encontrou falhas de segurança na HelpScout, 99designs (bug bounty).

Where: Infnet, Rua São José, 90 - Centro, Rio de Janeiro, Brasil
How participate: Inscreva-se aqui!
Everyone is welcome to join us at our chapter meetings.

27 de outubro de 2014

Curso de Hardening em Servidores Linux e WEB

Treinamento EaD que engloba os cursos de hardening em servidores Linux e de segurança em servidores WEB.

Esse curso tem como objetivo apresentar para administradores de redes e servidores Linux, como realizar o processo de hardening em seus servidores, como proteger suas redes, e como realizar um tunning em seus servidores web, com a implementação de módulos de segurança e WAF (WEB Application Firewall), de forma prática e muito bem detalhada.

Todo o conteúdo do treinamento engloba o que é cobrado na certificação LPIC-303 (Linux Security) e ISO 27002, possibilitando que o aluno possa realizar essa prova com o conhecimento necessário para passar pela mesma com sucesso.

Início: 12/01/2015
Horário: 22h às 01h (segunda e quarta-feira)
Local: Internet
Carga horária: 39h
Investimento: R$ 690,00 (10% de desconto para pgto via depósito)

Quem tiver interesse no curso, por favor, acesse o link http://bit.ly/ZkbwEE e faça sua inscrição no curso "Hardening em Servidores Linux e WEB " que em breve enviarei um e-mail para o pgto via PayPal ou depósito.


Ementa


Configurações de Segurança pós instalação
Auditoria;
Conceitos de Hardening;
Implementação Hardening;
Fail2Ban;
PortKnocking;
Utilização do Módulos PAM;
Procurando por senhas fracas (John);
Lastcomm;
Snoopy;

Trabalhando com ACLs de File System
O que são as ACLs;
Trabalhando com as ACLs;

Isolamento de Serviços
Conceitos e utilização do Chroot para o isolamento de serviços;
Instalação e Configuração do Apache;
Instalação e Configuração do PHP + Suhosin;
Instalação e Configuração do MySQL;

Segurança Avançada no Apache
     Mod_security
     Mod_evasive
     Mod_qos
     Mod_limitipconn
     OSSEC


Utilização do SYSLOG-NG
Administração e monitoramento de logs e evento no sistema;
Logs locais e remotos;
Gerenciamento de Servidores de Logs;
Definindo política de rotacionamento de logs;

HIDS (Host Intrusion Detection System)
Entendendo um HIDS;
Instalação e  Configuração do OSSEC;
Instalação e Configuração de interface web para gerenciamento dos logs do OSSEC;

IDS / IPS (Network Intrusion Detection System / Intrusion Prevention System)
Entendendo um NIDS e um IPS;
Instalação e Configuração do Snort;
Instalação e Configuração do Guardian;

Implementação de Sistema de Monitoramento
    Entendendo os sistemas de monitoramento;
    Ferramentas utilizadas;
    Instalação e configuração do Nagios;
    Plugins do Nagios;

Análise de Vulnerabilidades
Implementação de um Scanner;
Instalação e Utilização do Nmap;
Instalação e Utilização do Nikto;
Instalação do Nessus;
Configuração do Nessus;

Segurança utilizando Firewalls
Instalação do IPTables;
Configuração do IPTables;
Configuração de Regras utilizando Scripts;
NAT;

Tabela Mangle;

1 de outubro de 2014

CFP - 2º encontro do Capítulo OWASP RJ



Caros,

No dia 19 de novembro realizaremos o 2º encontro do Capítulo OWASP RJ, com a apresentação de quatro palestras técnicas sobre assuntos correlatos à segurança em aplicações.

Temos dois slots disponíveis para apresentação de palestras, e por isso abro o CFP para quem quiser inscrever um tema para ser apresentado.

O evento será no dia 19 de novembro, das 18h às 21h40 e será gratuito, com vagas para 80 participantes. Em breve divulgaremos o link para inscrições.

Quanto ao CFP, quem desejar apresentar um tema correlacionado à Segurança em Aplicações, deverá enviar um e-mail para mim (luizwt@gmail.com), com o assunto "CFP - OWASP RJ - nome do palestrante", com as seguintes informações:

- título da apresentação
- nome do palestrante
- tempo da apresentação
- resumo dos tópicos apresentados
- mini cv de no máximo 3 linhas do palestrante
- essa apresentação já foi realizada em outro evento? Se positivo, qual?
- em quais eventos já palestrou?

A organização do evento, como o mesmo será gratuito, com patrocínio apenas da Infnet, que nos cederá o local para realização do evento e divulgação, não poderá custear deslocamento, alimentação ou estadia para o palestrante.

Nosso primeiro encontro foi excelente, com 3 palestras apresentadas e local lotado com os inscritos. Nessa nova edição, conseguimos alocar mais um slot (totalizando 4 palestras) e abrindo pelo menos mais 30 vagas.

Datas e prazos:
- Envio das propostas para o CFP - até 07/10
- Resposta do CFP - até 10/10
- Envio dos slides pelo palestrante - até 09/11
- Realização do evento - 19/11

Aguardo os envios!