Carlos Serrão

Je Suis Charlie

carlosserrao — Wed, 07 Jan 2015 23:19:52 +0000

Em pleno início de 2015 parece inconcebível que estes actos de pura barbárie ainda possam ocorrer.
Podem matar as pessoas, mas jamais conseguirão eliminar as suas ideias!

Feliz Natal…

carlosserrao — Tue, 23 Dec 2014 15:28:13 +0000

Feliz Natal…

… e que o melhor de 2014, seja o pior de 2015.
Cada vez mais o Natal se transformou em mais uma data simples, em que os valores do amor, da felicidade e da família, facilmente se transformaram nos que estão relacionados com os do consumismo desenfreado.
Felizmente existem excepções que ainda me fazem acreditar no Natal e nos seus valores originais. Hoje, fui surpreendido por uma mensagem de email e por um post no Facebook do Tiago Henriques (@balgan no Twitter), em que ele publicitava uma excelente iniciativa.
Assim, e muito resumidamente, o Tiago propõe-se efetuar o pagamento das propinas de um ano letivo (2015/2016), a um aluno de uma universidade portuguesa, de licenciatura ou mestrado integrado nas áreas Ciências, Tecnologias, Engenharias ou Matemáticas. Podem obter mais informação aqui.
O Tiago, para além de ser um excelente profissional, mostra ser uma pessoa com um coração imenso, e que acima de tudo acredita em Portugal.
Obrigado pela iniciativa Tiago e Feliz Natal.

Declaração da OWASP sobre a Segurança na Internet

carlosserrao — Thu, 30 Jan 2014 01:42:59 +0000

A comunidade OWASP (Open Web Application Security Project, www.owasp.org) preocupa-se profundamente com a confiança que as pessoas depositam na utilização de serviços comuns de Internet e nas aplicações que oferecem e usam esses mesmos serviços. Os relatos recentes sobre as atividades de coleção em larga escala de informação em comunicações e em aplicações Internet, assim como as possíveis tentativas de enfraquecimento de determinados algoritmos criptográficos, deixaram-nos muito preocupados. Temos conhecimento da intercepção de informação e outras atividades de monitorização focadas em determinados indivíduos, no entanto, a escala das atividades reportadas recentemente e a possibilidade de adulteração ativa de aplicações de utilização massiva e de mecanismos criptográficos, é alarmante.

Claro que, é difícil saber com toda a certeza a partir dos relatos atuais que técnicas de ataque possam ter sido usadas e que acordos secretos possam ser sido estabelecidos. Como tal, não é fácil comentar aspetos específicos numa perspetiva da OWASP. No entanto, a OWASP rege-se por um conjunto sólido de princípios gerais que nos permitem comentar, assim como abordar algumas das ações que estão a decorrer.

A nossa missão é tornar a segurança aplicacional visível de forma a que as pessoas e as organizações possam tomar decisões informadas sobre os riscos de segurança das aplicações.

Acreditamos piamente que aplicações e software de confiança são um pilar importante da sociedade humana e das interações de todas as pessoas à volta do mundo.

Acreditamos piamente que pessoas, empresas e governos devem proteger a segurança do software e não devem enfraquecer intencionalmente a segurança do software, normas de segurança, ou comprometer a segurança de algoritmos criptográficos.

Acreditamos igualmente que pessoas, empresas e governos não devem introduzir intencionalmente defeitos ou vulnerabilidades (assim como portas secretas escondidas – back-doors) que possam comprometer a segurança, a confiança e a integridade do software e das aplicações.

Achamos que é importante também ressalvar que se vulnerabilidades são introduzidas propositadamente por pessoas, governos ou corporações para permitir monitorização, isso não só vai ter efeitos adversos sobre a liberdade e confiança na sociedade humana, mas mais cedo ou mais tarde essas vulnerabilidades e fraquezas serão igualmente encontradas e exploradas por atores maliciosos e criminosos. Além disso, a população em geral e as empresas vão ficar desprotegidas face a estes atores, o que prejudicará os próprios fundamentos de muitas das aplicações de software que suportam a nossa vida quotidiana, com potenciais consequências catastróficas a nível global.

A comunidade OWASP pretende ajudar na construção e implementação de sistemas seguros para todos os utilizadores da Internet. Enfrentar novas vulnerabilidades e problemas de segurança tem sido a principal força da comunidade OWASP ao longo de mais de uma década e a tecnologia por si só não é o único fator a considerar. A educação, as práticas operacionais, as leis e outros fatores semelhantes são igualmente importantes e devem ser considerados. Encaramos os desenvolvimentos e notícias recentes como um desafio, inspirando-nos a seguir os nossos princípios e trabalhar e fazer mais para tornar a web e as aplicações mais seguras. Eoin Keary, membro da direção da OWASP, destacou: “A OWASP não pode ficar indiferente e deixar que ocorra uma degradação da segurança; é contra a nossa própria missão.” Estamos confiantes de que a comunidade OWASP pode fazer a sua parte e nós acreditamos que as recomendações de segurança da OWASP e as suas ferramentas, se usadas de forma mais ampla, podem ajudar.

Devemos aproveitar esta oportunidade para perceber o que podemos fazer melhor daqui para frente; não pensar em tudo isto apenas à luz das recentes revelações. A segurança e privacidade da Internet, em geral, é ainda um grande desafio, mesmo ignorando as recentes atividades de monitorização e de recolha de informação. Lições podem ser retiradas de tudo o que foi referido anteriormente que serão úteis de muitas formas nos próximos anos. E Tobias Gondrom, membro da direção da OWASP, expressou a esperança de que “talvez as discussões deste ano possam ser a faísca inspiradora para motivar o mundo para tornar-se mais consciente da segurança, a tentar resolver um conjunto de questões em aberto e a passar de “inseguro por defeito” para “seguro por defeito “.

A publicidade e a motivação são igualmente importantes. Há muito que fazer para todos nós, desde utilizadores na ativação de recursos de segurança adicionais até especialistas em segurança, empresas e governos que garantam que os seus utilizadores, produtos, serviços e aplicações são seguras. A OWASP é uma comunidade aberta e convidamos todos os interessados em trabalhar nesta área para enfrentar este desafio e contribuir para a análise e desenvolvimento de ideias em conjunto para o nosso futuro comum.

####################

Este documento pode ser encontrado na sua versão original no seguinte local:

http://owasp.blogspot.com/2014/01/owasp-statement-on-security-of-internet.html

OWASP European Tour 2013 – Lisboa

carlosserrao — Sun, 16 Jun 2013 22:34:43 +0000

A OWASP está a organizar uma “tour” europeia (https://www.owasp.org/index.php/EUTour2013) com pessoal envolvido na OWASP e com outras membros da comunidade da segurança de informação com enfoque na segurança aplicacional. Esta “tour” está a ser organizada centralmente pela OWASP, mas conta com a colaboração dos chapter locais para a organização local.

O chapter português faz igualmente parte deste “tour” e a nosso evento tem lugar no próximo dia 21 de Junho, no ISCTE-IUL, da parte da tarde. Podem consultar toda a informação no seguinte local, onde está já igualmente a agenda final.

https://www.owasp.org/index.php/EUTour2013_Lisbon_Agenda#OWASP_Europe_Tour_-_Lisbon_2013

O evento, é absolutamente gratuito, e precisam apenas de se inscrever para poderem estar presentes (isto porque os lugares são limitados). O registo pode ser feito aqui: http://owaspeutour2013lisbon.eventbrite.pt

Aqui fica mais alguma informação sobre o evento (em inglês).

OWASP Europe TOUR, is an event across the European region that promotes awareness about application security, so that people and organizations can make informed decisions about true application security risks. Everyone is free to participate in OWASP and all of our materials are available under a free and open software license.

Apart from OWASP’s Top 10, most OWASP Projects are not widely used and understood. In most cases this is not due to lack of quality and usefulness of those Document & Tool projects, but due to a lack of understanding of where they fit in an Enterprise’s security ecosystem or in the Web Application Development Life-cycle.

This event aims to change that by providing a selection of mature and enterprise ready projects together with practical examples of how to use them.

Who Should Attend the Europe Tour?

• Application Developers

• Application Testers and Quality Assurance

• Application Project Management and Staff

• Chief Information Officers, Chief Information Security Officers, Chief Technology Officers, Deputies, Associates and Staff

• Chief Financial Officers, Auditors, and Staff Responsible for IT Security Oversight and Compliance

• Security Managers and Staff

• Executives, Managers, and Staff Responsible for IT Security Governance

• IT Professionals Interesting in Improving IT Security

• Anyone interested in learning about or promoting Web Application Security

New Apple goodies… ;-)

carlosserrao — Tue, 23 Oct 2012 23:03:18 +0000

Novo iPad4 (estou a imaginar a cara de quem comprou o iPad3 :->), novo iPad Mini, Macbook Pro 13″ Retina, novo Mac Mini e novo iMac. Foi um dia grande lá para os lados de Cuppertino.

We are not in the Moody’s

carlosserrao — Tue, 23 Oct 2012 15:19:54 +0000

]]>

Websecurity.PHP

carlosserrao — Mon, 22 Oct 2012 16:24:03 +0000

Para quem desenvolve aplicações para a Web, em especial em PHP, aqui fica um excelente recurso com informação muito relevante e actualizada: websec.io.

Tweetbot para Mac OS X

carlosserrao — Mon, 22 Oct 2012 15:57:29 +0000

O Tweetbot é um daqueles casos de uma aplicação em que, quando a aplicação oficial não tira partido de todo o potencial de toda a sua própria plataforma, existe sempre uma alternativa que o faz. Convenhamos, a aplicação “oficial” do Twitter é um pouco limitada. Por analogia podemos dizer que a aplicação oficial do Twitter é um Renault Clio, enquanto que o Tweetbot é uma espécial de Ferrari. Não que eu tenha algo contra quem conduz um Renault Clio,… ao contrário de outros.

Já há algum tempo que o Tweetbot se tinha vindo a afirmar como uma aplicação excelente para quem usa o Twitter, mas que existia apenas em iOS. Era igualmente a minha escolha no iPhone assim como no iPad. Para além de ser esteticamente bem conseguido, o software oferece ao utilizador todo um conjunto de funcionalidades que a aplicação oficial não permite ter. Assim, era “natural” que a Tapbots desenvolvesse igualmente o seu Tweetbot para Mac OS X.

Esta aplicação pode ser comprada na Mac App Store por 16 euros. É caro? É! Existem alternativas? Claro que sim! Mas também é verdade que o Tweetbot é muito melhor que quase todas elas, na minha opinião.

Vale a pena experimentar…

Privacidade e Segurança em Redes Sociais

carlosserrao — Fri, 19 Oct 2012 22:37:00 +0000

Hoje. Escola Superior de Tecnologia. Instituto Politécnico de Castelo Branco.

Umas pequenas dicas, para aqueles a quem eu me referia no post anterior!

Segurança e Privacidade em Redes Sociais from Carlos Serrão

E pronto, é o final de um loooooongooooo dia!

O Facebook, o Governo, o Presidente e a Privacidade

carlosserrao — Fri, 19 Oct 2012 22:09:00 +0000

Coisas que não percebo…

Não consigo perceber um Primeiro-Ministro, em que nos canais de comunicação tradicionais, dá uma imagem de ser uma pessoa dura e inflexível nas decisões que toma (não está aqui em causa se as decisões são boas ou más), e depois o mesmo Primeiro Ministro venha para um canal como o Facebook, dizer que pede desculpa pelas medidas duras que acaba de tomar.

Não consigo perceber deputados e membros do Governo, que usam o Facebook como principal canal para passarem as suas mensagens e pensamentos para o exterior, alguns deles em clara dissonância com as políticas de que seus próprios (des)governos seguem.

Não consigo perceber um Presidente da República que há alguns meses atrás estava preocupado com a segurança dos seus computadores e do seu próprio email (tendo inclusive levantado alguns suspeitas sobre a violação dos mesmos), use uma plataforma como o Facebook (em que, como sabemos, a privacidade está no topo da lista das suas preocupações) para comunicar com os cidadãos.

Não percebo como estes senhores, tendo sido eleitos, e estando em representação de TODOS os portugueses, assumam que TODOS os portugueses tenham acesso ao Facebook para estarem a par dos seus pensamentos ou decisões.

Avisem-nos quando todos precisarmos de criar uma conta no Facebook, ok? Obrigado.

Já que estão tão interessados numa plataforma como o Facebook, porque não usar o mesmo para referendar junto das pessoas algumas das decisões que tomam? Isso sim, seria dar uma enorme imagem de modernidade e de democracia participativa… Pois, mas isto já não interessava, pois não?

Enfim, há coisas que não consigo perceber.