Você está na página 1de 5

Entrevista com Carlos Serro por David Sopas www.websegura.

net
David Sopas: O que OWASP? Carlos Serro: OWASP significa Open Web Application Security Project e uma fundao americana (mas de alcance global e geral) que se encarrega de dinamizar uma comunidade internacional em torno de um princpio comum: a segurana nas aplicaes Web (embora ultimamente o foco seja a segurana aplicacional em geral). So muitas as iniciativas da OWASP, que oferece documentao, ferramentas, projetos, eventos e muitos outros. Mais fcil do que estar aqui a enunciar cada um deles, para mais informao sobre a OWASP s apontar o browser para www.owasp.org. A OWASP caracterizada por ser uma comunidade aberta, livre participao de todos e que se baseia no modelo de que tudo o que produzido pela comunidade sobre o chapu da OWASP reverte em favor da mesma (e no s). A OWASP, e em especial o OWASP Top 10, tem vindo a afirmar-se cada vez mais como uma referncia a nvel internacional, e muito fcil encontrar hoje este Top 10 em cadernos de encargos de desenvolvimento aplicacional para a Web. DS: Como chegaste a lder do charter PT da OWASP? CS: Bem, em primeiro lugar no gosto muito da designao de lder. Parece-me um ttulo exagerado e o qual acho que no mereo. Considero-me mais uma espcie de dinamizador ou de evangelista, que tenta fazer passar para terceiros as principais mensagens da OWASP e promover a sua misso, em especial no que diz respeito comunidade local. Como o chapter da OWASP PT foi criado prende-se um pouco com uma coincidncia feliz. Andava eu a fazer algum trabalho de investigao no mbito da minha Tese de Doutoramento, quando conheci pela primeira vez a OWASP e o site da organizao. Depois de mais algum estudo do mesmo, cheguei concluso de que era uma comunidade muito interessante (composta por algumas empresas e profissionais muito reconhecidos no sector) e que o trabalho que desenvolvia era meritrio de elevado crdito. Por outro lado, verifiquei que a OWASP adoptava uma organizao muito horizontal e descentralizada, como forma de chegar aos quatro cantos do Mundo, permitindo a constituio de diversos chapters (delegaes) locais e regionais. Verifiquei igualmente, que o nosso cantinho beira mar plantado no fazia ainda parte do ecossistema da OWASP. Resolvi por isso na altura propor OWASP e a mim mesmo a criao de chapter da OWASP nacional, o qual tenho vindo a tentar dinamizar at agora. Infelizmente, o tempo por vezes no abunda, e umas vezes mais depressa, outras um pouco mais devagar, o chapter local tem vindo a crescer, quer em termos de iniciativas, quer em termos de membros da prpria OWASP. O modelo de liderana do nosso chapter algo sobre o qual j me tenho debruado, e que

precisa de ser repensado, como forma de aumentarmos o dinamismo e o crescimento da prpria organizao. Penso que o modelo mais adequado para isto, termos uma estrutura diretiva, no muito formal, mas constituda por entre trs a cinco elementos, que durante um determinado perodo de tempo fixo, assumissem o papel de uma Direo para a OWASP Portugal. algo de facto a considerar nos prximos tempos. No me considero por isso, de todo um lder, mas antes algum que tenta dinamizar (quando o tempo abunda), a comunidade portuguesa que possa ter interesse nestes tpicos relacionados com a segurana aplicacional Web. Enfim, vai-se fazendo o possvel... :-) DS: Qual a influncia da OWASP em Portugal? CS: Para j a influncia da OWASP em Portugal no to grande quanto seria de esperar. Temos vindo a desenvolver algumas iniciativas prprias e a participar em alguns eventos, como parte da nossa estratgia para a criao de awareness em termos da OWASP e da prpria delegao nacional. Gostaria de destacar de entre estas iniciativas, a realizao da IBWAS, a Ibero-American Web Application Security conference, j em duas edies, que atraiu bastantes participantes, quer em Espanha quer em Portugal. A IBWAS, uma iniciativa conjunta da delegao OWASP portuguesa e espanhola. Outra importante iniciativa realizada, que mobilizou muita gente foi a vinda a Portugal de Samy Kamkar, em que apresentou How I met your girlfriend. Estamos igualmente a tentar desenvolver alguns contactos com algumas entidades nacionais com vista a tentar alargar esta nossa influncia. DS: Quantos membros existem em Portugal? Como os classificarias profissionalmente (estudantes, profissionais de segurana, professores...)? CS: A nossa comunidade nacional muito eclctica, composta por um misto de profissionais, estudantes, professores e em geral todos os interessados em segurana aplicacional em geral. Penso que, apesar de no ter esses dados, no existe uma grande predominncia de um grupo especfico - embora eu aposte que a grande maioria sero profissionais na rea, seguindo um pouco a tendncia da prpria comunidade internacional OWASP. Em relao ao nmero de membros, atualmente a nossa mailing list nacional conta com cerca de 110 assinantes, sendo que uma percentagem dos mesmos, so membros de facto da OWASP. DS: Qual a primeira palavra que te ocorre quando falamos de segurana de informao no nosso pais? CS: S uma palavra?... Isso muito complicado... Como que algum pode exprimir tudo em apenas uma palavra? Tudo depende do contexto da anlise que for realizada. Eu diria, sem querer atrair polmicas, que a palavra que mais me apeteceria dizer era mista. Ou seja, temos situaes em que a segurana de informao mesmo muito boa, e depois temos outras situaes em que a mesma muito fraca ou at mesmo inexistente. Infelizmente, parece que esta ltima categoria mesmo a que mais prevalece, embora existam indcios de que o cenrio se esteja a alterar.

Acabe por ser um pouco o mesmo que acontece um pouco por toda a Europa, e por todo o Mundo. Existem alguns dos problemas que continuam a estar prevalentes enquanto que outros vo aparecendo quase todos os dias. DS: A formao de segurana de informao deveria comear nasescolas? CS: claro que sim. E com gestos e princpios simples. A massificao das novas Tecnologias de Informao e Comunicao facilitou em muito o acesso a novas formas de comunicao e participao que alteraram por completo o paradigma de interao humana. Passamos a depender muito mais e muito mais cedo (em termos de idade) de meios electrnicos de comunicao e interao que, apesar de serem muito simples de usar, encerram em si perigos que podem afectar a nossa privacidade e segurana. Ou seja, so fceis de usar e de abusar. Por tudo isto, muito importante que exista uma estratgia de educao que esteja devidamente alinhada com estes novos desafios que existem e que esto relacionados com esta vaga tecnolgica. Por isso, absolutamente necessrio nos mais diversos nveis que haja informao relacionada com boas prticas de segurana que devem ser adoptadas online. Por isso, quanto mais cedo esta informao bsica de comportamentos de segurana online forrem passados aos utilizadores destas novas tecnologias, melhor. Alguns princpios devem ser adquiridos mesmo ao nvel do ensino bsico, e irem sendo evoludos progressivamente. Ao nvel da segurana aplicacional web, e considerando uma perspectiva de quem desenvolve este tipo de aplicaes, deve ser encarada de uma forma muito sria. Assim, muito importante que a segurana esteja sempre presente em todo o processo de desenvolvimento, desde o primeiro dia, e no numa fase muito mais tardia no processo. E esta consciencializao deve comear o mais cedo possvel, nas escolas e Universidades. Deve ser colocado um nfase cada vez maior em ensinar no apenas a ferramenta (princpios de programao e linguagens de programao), mas igualmente o processo (anlise de requisitos de segurana, princpios de programao segura, boas prticas de desenvolvimento em segurana, entre outros). Esta uma frase sobejamente conhecida por quem trabalha na rea de segurana de informao, mas nunca demais repeti-la: A segurana no um Produto, um Processo. DS: A OWASP tem organizado e promovido diversos eventos no nosso pas. Tens tido feedback? CS: De facto, a OWASP tem apontado grande parte das suas baterias para Portugal. J tivemos a oportunidade de contar com a presena de dois Summits da OWASP em Portugal, em que o primeiro decorreu em 2008 no Algarve e o segundo decorreu j durante 2011, na regio centro do nosso pas. Ambos os eventos contaram com a presena de mltiplas empresas e de mltiplos especialistas mundiais na rea da segurana de informao e de segurana na Web. Estes foram sem dvida, dois dos maiores eventos que a OWASP realizou na Europa. A edio deste ano do OWASP Summit captou mais a ateno de Portugal, tendo conseguido este ano envolver um maior nmero de participantes nacionais.

Por outro lado, a delegao portuguesa da OWASP, tem igualmente realizado um esforo importante na realizao e promoo de alguns eventos da OWASP, que tm vindo a decorrer um pouco por todo o lado no nosso pas. Como j tinha referido anteriormente a delegao portuguesa da OWASP em conjunto com a delegao espanhola tem levado a cabo um evento que se designa por IBWAS. A IBWAS ou "Ibero-american Web Applications Security Conference", realizou-se na sua primeira edio em Espanha, e a segunda realizou-se em Portugal. O evento procura ser um frum de troca de ideias entre o meio acadmico e industrial, procurando um mix perfeito entre o melhor dos dois mundos. Nas duas edies anteriores o evento teve um participao que nos deixa confiantes nas edies futuras. Em princpio, a prxima edio da IBWAS ter lugar em Dezembro de 2012, em Barcelona, e ser organizada em conjunto pelas delegaes OWASP da Espanha, Portugal e Andaluzia. Como sempre, existem aspectos que necessitam de ser melhorados, e em que procuramos sempre tentar fazer melhor de ano para ano. Para isso, contmos sempre com o apoio da comunidade em geral e com o seu feedback, para fazermos cada vez melhor. Sem dvida que o evento "estrela" que a delegao OWASP organizou em Portugal foi a vinda Samy Kamkar a Portugal, apresentando a sua abordagem de explorao de Redes Sociais, em "How I met your girlfriend". O esforo de organizao de eventos no vai parar, e queremos, em conjunto com outras organizaes de segurana de informao em Portugal continuar a organizar mais eventos, e a trabalhar em prol da comunidade e da divulgao da segurana aplicacional em Portugal. DS: Qual o papel que a OWASP pode oferecer s empresas em Portugal? CS: A OWASP, e muito particularmente o OWASP Top 10, est a tornar-se uma referencia de industria um pouco por todo o lado. Como tal, grande parte das empresas que produzem software o que adquirem produtos de software, j utiliza, o OWASP Top 10 como uma das mtricas mais utilizadas para aferir a qualidade dos produtos de software em termos de segurana dos mesmos. Por outro lado a OWASP possui todo um conjunto muito importante de documentao que pode ajudar as organizaes, e os seus atores, desde gestores de topo at arquitetos de software e programadores a perceberem todo o contexto de segurana aplicacional e o seu impacto na organizao. Igualmente, sendo a OWASP uma comunidade aberta e que vive em grande parte da energia da comunidade, importante que estas organizaes participem ativamente na mesma e que absorvam de forma gratuita o que a OWASP tem para lhes oferecer, mas ao mesmo tempo possam contribuir para a mesma. Penso que as organizaes portuguesas, quer da Administrao Pblica quer do sector privado, podem beneficiar largamente com o que a OWASP tem para lhes oferecer. DS: Quais so os teus planos para o futuro da OWASP em Portugal? Novos projetos? CS: Como j referi anteriormente existem alguns projetos que esto a decorrer no nosso chapter e que decorrem em simultneo com outros. Nomeadamente, um dos projetos que decorre quase sempre em simultneo com os chapters Brasileiros, o projeto de traduo dos materiais documentais da OWASP. J foram diversos os documentos que foram traduzidos, e continuam a ser traduzidos outros.

Vamos querer continuar a participar na organizao da IBWAS, e a melhor continuamente o evento e a ganhar mais visibilidade para o mesmo. Por outro lado, est igualmente nos nossos planos trazermos para Portugal a organizao da OWASP AppSecEU, atualmente um dos maiores eventos de segurana aplicacional da OWASP a nvel global este ano ter lugar na Grcia. Finalmente, queremos ainda passar a organizar um evento nacional e anual de Segurana Aplicacional o Portugal AppSec Day. Por outro lado, queremos continuar a incentivar e apoiar toda e qualquer iniciativa e projeto de cada um dos nossos membros na rea da segurana aplicacional. No esquecer que a OWASP e os seus chapters servem e vivem essencialmente da energia dos seus membros e da sua comunidade. DS: Para terminar esta entrevista, tens algumas palavras finais para os leitores do WebSegura.net? CS: Bem, em primeiro lugar quero agradecer este amvel convite que me foi feito, e lamentar o tempo que demorei com as respostas. Foi de facto, tempo demais... mas aqui esto, finalmente. Em segundo lugar, quero igualmente enaltecer o excelente trabalho que o David tem estado a fazer no blog. O WebSegura.net ganhou claramente um espao muito importante na blogosfera nacional e tem feito um excelente trabalho em prol da divulgao da segurana de informao em Portugal. Por ltimo gostaria de relembrar a todos os leitores do blog, a misso da OWASP, e sugerir o envolvimento dos mesmos, incentivando-os e apoiando-os no que for necessrios e esteja ao nosso alcance. A OWASP vive da energia dos seus membros.

Você também pode gostar