Conviso IT Security

OWASP AppSec Brasil 2009 - Transmissão ao Vivo pela Web

Sun, 25 Oct 2009 13:12:17 -0400

O OWASP AppSec Brasil 2009, que irá acontecer nos dias 29 e 30 de outubro de 2009 na Câmara dos Deputados, Anexo II, em Brasília, DF, terá transmissão ao vivo pela Internet em http://www2.camara.gov.br/webcamara/ao-vivo/transmissoes-do-dia.

OWASP AppSec Brasil 2009 - Patrocínio Confirmado

Fri, 23 Oct 2009 13:39:00 -0400

Press Release: OWASP AppSec Brasil 2009 - Patrocínio Confirmado

Curitiba, 23 de outubro de 2009 - A Conviso IT Security anuncia que está patrocinando o evento OWASP AppSec Brasil 2009, a primeira edição nacional da série de conferências AppSec que irá ocorrer nos dias 29 e 30 de outubro de 2009 na Câmara dos Deputados, Anexo II, em Brasília, DF.

Sobre o OWASP AppSec Brasil

A série de conferências AppSec é mantida pelo OWASP para concentrar em um mesmo evento representantes da indústria, governo e entidades acadêmicas para discutir o estado da arte em segurança de aplicações. A Série AppSec foi iniciada em 2004 nos Estados Unidos e rapidamente foi replicada em diversos países da Europa e Ásia além das edições ocorridas na Austrália e Israel.

O OWASP AppSec Brasil será a primeira edição do evento na América Latina,promovida pela Comunidade TI-Controle e organizada pelo Centro de Informática da Câmara dos Deputados. A Conferência tem o apoio do OWASP, Capítulo Brasil, como provedor de conteúdo (seleção de palestras e cursos e montagem da grade de horários) e da Universidade de Brasília.

Sobre a Conviso IT Security

Fundada em fevereiro de 2008 por profissionais que atuam no mercado de Segurança da Informação desde 1997, a Conviso IT Security posiciona-se como uma empresa de consultoria especializada em serviços para a proteção da infra-estrutura, destacando-se no mercado pela sua especialização em network security e application security e na representação de produtos de alta tecnologia desenvolvidos pela Arc Sight, Fortify, Imperva e N-Stalker.

Com um crescimento constante e alto índice de retenção da nossa carteira de clientes, firmamos nossa presença no mercado sendo reconhecidos não só pela qualidade de nossos serviços, mas também por entregar resultados adequados à realidade de nossos clientes, onde as limitações comuns de uma operação de negócio são consideradas e utilizadas como premissas para a criação de soluções simples, racionais e eﬁcazes.

Apresentação do nosso Gerente de Operações, Eduardo V. C. Neves,...

Sun, 18 Oct 2009 10:07:05 -0400

Apresentação do nosso Gerente de Operações, Eduardo V. C. Neves, no evento You Shot the Sheriff 3, onde falou sobre a relação entre técnicos e gerentes de Segurança da Informação com a palestra “Como Transformar uma Abotoadura em um Boné”.

Vídeos do H2HC disponíveis

Sat, 17 Oct 2009 16:28:11 -0400

Estão disponíveis on-line as palestras da Edição 2008 do evento H2HC, onde o nosso Gerente de Pesquisa e Desenvolvimento, Wagner Elias, falou sobre Extreme Web Hacking.

Veja a apresentação on line ou veja a apresentação pelo Slide Share.

OWASP AppSec - Quase 300 pessoas confirmadas

Fri, 09 Oct 2009 17:58:00 -0400

Quase chegando na semana do OWASP AppSec Brasil, estamos com 268 pessoas inscritas e se levarmos em conta a costumeira mania brasileira de deixar tudo para a última hora, este número ainda vai aumentar muito. Se você quiser ajudar a divulgar esta importante iniciativa para a Segurança das Aplicações no Brasil, a versão em pfd do cartaz oficial pode ser baixada à partir daqui.

Cost of IT security breaches jumps 97 per cent

Fri, 02 Oct 2009 04:52:54 -0400

Cost of IT security breaches jumps 97 per cent:

Apesar do título excessivamente chamativo, a matéria é muito interessante e a metodologia utilizada na pesquisa está disponível para download, o que a torna mais clara e permite a sua análise de maneira criteriosa.

The results are based on over 600 responses from Canadian IT security professionals and nine focus groups across Canada. A full copy of the 80-page report is available atrotman.utoronto.ca/securitystudy. A benchmarking tool is available attelus.com/securitystudy.

Playing Web Fuzzer na H2HC 2009

Thu, 01 Oct 2009 20:18:34 -0400

Estamos confirmados como palestrantes de mais uma edição do evento H2HC. Neste ano, Wagner Elias irá apresentar o tema “Playing Web Fuzzer”, mostrando asas vantagens e técnicas usadas para identificar falhas em aplicações WEB usando Fuzzer. Para isto serão feitas demonstrações utilizando ferramentas como WebSlayer e JBroFuzz e os recursos do OWASP Fuzzing Code Database Project.

Physical Penetration Testing Tells All

Sat, 15 Aug 2009 04:32:24 -0400

A proteção do seu Ambiente Informatizado vai bem além dos testes de segurança lógica. Nesta matéria do Dark Reading estão apresentados alguns conceitos sobre os penetration tests realizados na camada de segurança física além de links para vídeos demonstrando como os conceitos podem ser aplicados.

Database Hacking Video Demonstration from Imperva: SQL Injection Attack via Direct Database Access

Fri, 14 Aug 2009 13:40:43 -0400

Ontem foi publicado no blog da Imperva um vídeo demonstrando como é feito um ataque de SQL por Direct Database Access, que além de bastante instrutivo faz parte da seqüência de explicações conceituais e práticas disponíveis no ImpervaChannel.

OWASP AppSec - Segundo Keynote Speaker confirmado

Mon, 20 Jul 2009 13:41:16 -0400

OWASP AppSec Brasil 2009: Second Keynote Speaker confirmed. Got OWASP? http://idek.net/KaZ

OWASP AppSec - CFP encerra hoje

Sat, 11 Jul 2009 10:06:44 -0400

Hoje é o último dia para o envio de propostas de palestras para o OWASP AppSec Brasil 2009. Até às 00h00 de Brasília, o Comitê Organizador continuará a receber as propostas para que à partir da próxima semana seja feita a seleção e montagem da grade do evento. Se você ainda não o fez, olhe os critérios e faça a sua submissão.

The 10 dumbest mistakes network managers make

Wed, 08 Jul 2009 05:16:37 -0400

The 10 dumbest mistakes network managers make

Link Original

When you look at the worst corporate security breaches, it’s clear that network managers keep making the same mistakes over and over again, and that many of these mistakes are easy to avoid.

In 2008, Verizon Business analyzed 90 security breaches that represented 285 million compromised records. Most of these headline-grabbing incidents involved organized crime finding an unprotected opening into a network and using it to steal credit card data, Social Security numbers or other personally identifiable information.

10 woeful tales of data gone missing

What’s astonishing is how often these security breaches were the result of network managers forgetting to take obvious steps to secure their systems, particularly non-critical servers.

“We’re just not doing the basics,” says Peter Tippett, vice president of innovation and technology at Verizon Business, who has been auditing security breaches for 18 years.

Tippett helped us put together a list of the simplest steps that a network manager can take to eliminate the majority of security breaches. Not to follow the items on this list would be, quite simply, stupid.

1. Not changing the default passwords on all network devices.

Tippett says it’s “unbelievable” how often corporations have a server, switch, router or network appliance with the default password — usually “password” or “admin” — still enabled. Most CIOs think this problem could never happen to them, but Tippett sees it every day.

To avoid this problem, you need to run a vulnerability scanner against every device on your network with an IP address, not just the critical or Internet-facing systems, Tippett says. Then you need to change the default passwordsthat you find to something else. More than half of all the records that were compromised last year were the result of using a default password on a network device, according to the Verizon Business study.

2. Sharing a password across multiple network devices.

IT departments often use the same password across multiple servers, and several people know the password. It might be a good password — a complicated string of numbers and letters — but once it’s shared among several systems, these systems are all at risk.

For example, one of the people who knows the password could switch companies and reuse the password at his new company. Or an outsourcer who handles a non-critical system such as a data center cooling system could use the same password on all of the systems it operates for all of its customers. In either case, if the password is discovered by a hacker, the hacker can get into many servers and wreak more damage.

Tippett says IT departments need a process — automated or manual — to make sure that server passwords are not shared among multiple systems, are changed regularly and are kept secure. He says it’s as simple as keeping the current server passwords written down on cards that are kept in a lockbox controlled by one person.

3. Failing to find SQL coding errors.

The most common hacking attack — representing 79% of all compromised records — is against an SQL database that is connected to a Web server. The way that hackers get into these systems is to enter an SQL command in a Web-based form. If the form is coded properly, it shouldn’t accept SQL commands. But sometimes developers accidentally create what are called SQL injection errors.

Tippett says the easiest way to prevent these errors is to run an application firewall in “learn” mode so that it can watch how users enter data into a field and then put the application firewall in “operate” mode so that SQL commands can’t be injected into a field. The SQL coding problem is widespread. “If a company tests 100 servers, they will probably find a SQL injection problem on 90 of them,” Tippett says.

Often, companies fix only the SQL injection errors on their critical servers, forgetting that most hackers get into their networks through non-critical systems. Tippett suggests that network managers segment their networks using access control lists to restrict servers from talking to nonessential devices. This would prevent a hacker from gaining widespread access to data through an inevitable SQL coding error.

4. Misconfiguring your access control lists.

Segmenting your network using access control lists is the simplest way to make sure that systems communicate only with the systems that they should. For example, if you allow business partners to access two servers on your network through your VPN, you should use the access control lists to make sure that these business partners only have access to these two servers. Then if a hacker comes into your network through the opening for business partners, the hacker can only get into the data on these two servers.

“Often a bad guy coming into the network through the VPN has access to everything,” Tippett says. Indeed, having properly configured access control lists would have protected 66% of the records that were compromised last year, according to the Verizon report. The reason CIOs don’t take this simple step is that it involves using your routers as firewalls, and many network managers don’t want to do that.

5. Allowing nonsecure remote access and management software.

One of the most popular ways for hackers to get into your network is to use a remote access and management software package, such as PCAnywhere, Virtual Network Computing (VNC) or Secure Shell (SSH). Often, these software applications are lacking the most basic security measures, such as good passwords.

The simplest way to find this problem is to run an external scan across your entire IP address space to look for PCAnywhere, VNC or SSH traffic. Once you find these applications, put extra security measures on them such as tokens or certificates in addition to passwords. Another option is to scan the Netflow data of your external facing routers and see if you have any remote access management traffic flowing across your network.

This problem is common enough to account for 27% of the compromised records in the Verizon Business report.

6. Failing to test noncritical applications for basic vulnerabilities.

Nearly 80% of all hacking attacks are the result of security holes in Web applications, according to the Verizon Business report. Network managers know that their biggest vulnerability is in Web applications, so they put all of their effort into testing their critical and Internet-facing systems.

The problem is that most hacking attacks leverage security mistakes in noncritical systems inside networks. “The main problem is that we’re testing like crazy the critical Web applications, and we’re not testing the non-Web applications,” Tippett says. He recommends that network managers test all of their applications for basic vulnerabilities.

“People have been taught forever to focus in order of criticality, but the bad guys don’t know what’s critical or not. They go in order of what’s easy,” Tippett says. “Once they get inside your network, they can set up shop, take their time and watch your traffic.”

7. Not adequately protecting your servers from malware.

Malware on servers accounts for 38% of all security breaches, Verizon Business says. Most malware is installed by a remote attacker and is used to capture data. Typically, malware is customized, so it can’t be discovered by antivirus software. One way for network managers to find malware such as keylogger or spyware on their servers is to run host-based intrusion-detection system software on every server, not just critical servers.

Tippett suggests a simple way to prevent many of these attacks: Lock down servers so that no new applications can run on them. “Network managers hate to do that because they might want to add new software later,” Tippett says. “I tell them to just unlock the lock, install the new software, and then lock it up again.”

8. Failing to configure your routers to prohibit unwanted outbound traffic.

One popular form of malware involves putting a backdoor or command shell on a server. One way to prevent a hacker from taking advantage of a backdoor or command shell is network segmentation using access control lists. This way you can prevent servers from sending traffic that they shouldn’t be sending. For example, a mail server should only send mail traffic, not SSH traffic. Another option is to use your routers for default deny egress filtering, which blocks all outbound traffic except for what you want leaving your network.

“Only 2% of companies do this. It baffles me as to why the other 98% don’t,” Tippett says. “Default deny egress filtering is trivial.”

9. Not knowing where credit card or other critical customer data is stored.

Most companies think they know where critical data such as credit card information, Social Security numbers or other personally identifiable information are stored, and they harden these servers with the highest levels of security. But often, this data is stored somewhere else on the network such as at a backup site or in the software development department.

It’s these secondary, noncritical servers that often get attacked and lead to the majority of data breaches. One easy way to find out where critical data is stored is to conduct network discovery. “We typically stick a sniffer on the network and we see where the critical data is supposed to be and then we see where else it goes,” Tippett says.

10. Not following the Payment Card Industry Data Security Standards.

Dubbed PCI DSS, this set of 12 controls for protecting cardholder information work, Tippett says. “Most people don’t even try to meet the PCI standards,” Tippett says. Sometimes a company follows these controls for the servers where it knows it stores credit card data, but not on the other unknown servers that host this critical data.

Even though 98% of all compromised records involve payment card data, only 19% of organizations with security breaches followed the PCI standards, according to the Verizon Business report. “It’s obvious. Follow the PCI rules. They basically work,” Tippett says.

OWASP AppSec - CFP até 11 de julho

Tue, 07 Jul 2009 15:05:49 -0400

A Conferência Internacional sobre Segurança de Aplicações, será realizada nos dias 27 a 29 de outubro de 2009 nas dependências da Câmara dos Deputados, em Brasília, DF.

Será promovida pelo OWASP Brasil com o suporte da Comunidade TI-Controle para tratar os diferentes assuntos relacionados a Segurança de Aplicações, tais como:

Desenvolvimento seguro
Segurança e arquitetura de software
Processos de desenvolvimento de sistemas seguros
Ferramentas para análise de segurança de aplicações
Bibliotecas e frameworks de segurança para aplicações web
Auditoria e testes de segurança em aplicações
Metodologias gerenciais para melhoria da segurança no desenvolvimento de software
Análise de ataques a aplicações
Avaliação de riscos de negócio em aplicações web
Segurança de web services

A Conferência terá dois dias de treinamentos (27 e 28 de outubro) seguidos de dois dias de palestras (29 e 30 de outubro). As chamadas de trabalho terminam no dia 11 de julho. A página com as informações relacionadas está disponível na Wiki da OWASP.

YSTS 3.0 - Algumas Fotos

Mon, 29 Jun 2009 10:28:58 -0400

Estivemos no evento YSTS 3.0, onde nosso Gerente de Operações apresentou uma palestra discutindo as relações entre gestores e técnicos em IT Security. Algumas fotos tiradas durante as palestras estão disponíveis em nosso Flickr, e a apresentação “Como Transformar Abotoaduras em Bonés” foi publicada para download público.

Spammers want to profit on Michael Jackson's death

Mon, 29 Jun 2009 10:21:40 -0400

Spammers want to profit on Michael Jackson's death:

Como em toda notícia de amplo interesse público, a curiosidade da audiência é utilizada para propagar o malware e seus correlatos.

OWASP AppSec Brasil 2009 - Gary McGraw como Keynote Speaker

Fri, 05 Jun 2009 09:07:00 -0400

Graças a mais uma grande iniciativa do Lucas Ferreira, o Gary McGraw aceitou o convite de participar do OWASP AppSec Barasil 2009 como Keynote Speaker. Além de ser um profissional extremamente renomado no mercado, McGraw é autor de diversos livros sobre segurança em software, incluindo o Building Secure Software, uma das referências do setor.

Entre os dias 29 e 30 de outubro de 2009, reserve a sua agenda e compareça no OWASP AppSec Brasil 2009, esta primeira iniciativa de trazer a linha de eventos Application Security para o nosso país está ficando a cada dia mais interessante para toda a comunidade de Segurança da Informação.

Detalhamentos dos Conviso Security Training

Tue, 26 May 2009 09:56:09 -0400

Atendendo a uma solicitação de nossos clientes, separamos no web site a descrição e ementa dos cursos ofertados pelo Conviso Security Training. Agora, você pode olhar diretamente com detalhes como são os nossos treinamentos.

A primeira descrição disponível é a do curso Internet Hacking Techniques, que você pode ver diretamente em formato pdf.

Novo Data Sheet do Conviso Security Training

Tue, 26 May 2009 09:47:53 -0400

Publicamos hoje um novo data sheet apresentando o Conviso Security Training e os cursos ofertados. Dê uma olhada em nosso web site, ou vá direto para a versão em pdf.

Patrocínio e cursos no Evento You Shot the Sheriff 3.0

Sat, 25 Apr 2009 10:20:56 -0400

Press Release disponível também em formato PDF

A Conviso IT Security anuncia que está patrocinando pelo segundo ano consecutivo, desta vez como Green Label, o evento You Shot the Sheriff 3.0, a terceira edição de um dos mais inovadores eventos do mercado de Segurança da Informação brasileiro.

Com palestras técnicas para motivar gerentes e sobre gestão e carreira que agradarão os técnicos, o evento busca uma integração das áreas, para que todos conheçam um pouco mais do “outro lado”, trazendo um diferencial na qualificação profissional.

Além do patrocínio, estaremos fornecendo dois cursos ministrados pelo Conviso Security Labs; Internet Hacking Techniques e Web Hacking Techniques, que estão sendo comercializados diretamente no web site do evento a um preço diferenciado para quem optar pelo Passaporte que inclui a participação no evento e a inscrição em um dos cursos ofertados.

Sobre o You Shot the Sheriff 3.0
O evento You Shot the Sheriff 2.0 foi promovido em São Paulo em 2008, dando continuidade a uma nova forma de falar sobre Segurança da Informação de uma maneira leve, descontraída e conduzida por profissionais renomados do Brasil e exterior. A versão 3.0 será realizada no dia 22 de junto de 2009, contando com cursos específicos em IT Security nos dois dias posteriores ao evento. É uma criação dos responsáveis pelo podcast de segurança da informação “i sh0t the sheriff”, que pode ser assinado pelo link http://naopod.com.br.

Sobre a Conviso IT Security
Fundada em fevereiro de 2008 a Conviso IT Security é uma empresa criada com o objetivo de prestar serviços de consultoria de alta qualidade e adequados à realidade de nossos clientes, onde as limitações comuns de uma operação de negócio são consideradas e utilizadas como premissas para a criação de soluções simples, racionais e eﬁcazes.

No período de um ano conseguimos atender uma carteira crescente de clientes, aplicando nossa linha de serviços de forma especíﬁca para garantir a aderência ao PCI-DSS, testar a resistência de aplicações bancárias contra fraudes, avaliar a segurança de soluções para e-commerce e leilões virtuais, solucionar infestações por malware e atuar como advisors para IT Security de forma contínua.

ISO/IEC 15.408: Não é para desenvolvimento seguro

Tue, 14 Apr 2009 10:35:00 -0400

Uma versão em PDF deste artigo está disponível em nosso web site.

Introdução

Começar um artigo com um título negando uma afirmação amplamente divulgada é praticamente um convite a discussões intermináveis entre os que defendem uma abordagem ou outra, o que nós conhecemos como flamewar. Mas fique tranquilo, meu interesse é simplesmente esclarecer um equívoco que vem sendo repetido amplamente por anos. E quando falamos em PCI-DSS um assunto recorrente é a segurança em desenvolvimento de software, momento extremamente oportuno para esclarecer e acabar com este equívoco.

A ISO/IEC 15.408 (Commom Criteria), é um conjunto de critérios para avaliação de segurança de um software. Esta avaliação é feita através de perfis de proteção e níveis de garantia de avaliação. Com base nestes critérios, laboratórios credenciados e capacitados irão avaliar produtos e determinar que nível de garantia de segurança o produto será acreditado.

Então como se pode afirmar que a ISO/IEC 15.408 não é para desenvolvimento seguro? Simples, ela não fornece nenhum tipo de processo, sistema de gestão e/ou guia para implementação de qualquer controle para garantir a segurança de uma aplicação, apenas critérios para avaliar qualquer sistema, produto de segurança.

Quem procura boas práticas para desenvolvimento seguro deve se orientar por práticas como o SDL (Security Development Lifecycle) da Microsfot ou o CLASP (Comprehensive, Lightweight Application Security Process) da OWASP (Open Web Application Security Project). Estas práticas irão lhe fornecer diversos recursos que irão possibilitar que você implemente um processo que irá aumentar a qualidade e segurança das suas aplicações.

SDL (Security Development Lifecycle)

O SDL é o grande responsável por um aumento considerável na segurança das aplicações desenvolvidas pela Microsoft. O SDL é um conjunto de práticas que garantem que o princípio de S³+C será garantido durante o processo de desenvolvimento de software. Mas o que é o S³+C? S³+C é (Segurança no projeto, Segurança por padrão, Segurança na Implementação + Comunicação). Veja o que a Microsoft descreve sobre esta classificação:

Segurança no projeto: o software deve ser esboçado, projetado e implementado de modo a proteger a si mesmo e às informações que ele processa, bem como resistir a ataques.
Segurança por padrão: no mundo real, nenhum software pode ser perfeitamente seguro, portanto os projetistas devem prever a presença de falhas na segurança. Para diminuir os danos causados quando invasores detectam essas falhas remanescentes, o estado padrão do software deve promover a segurança. Por exemplo, o software deve operar com o mínimo necessário de privilégios, e todos os serviços e recursos que não sejam amplamente necessários devem vir desativados por padrão ou ser acessíveis somente a um pequeno grupo de usuários.
Segurança na implantação: O software deve vir acompanhado de ferramentas e guias para ajudar os usuários finais e/ou administradores a usá-lo com segurança. Além disso, as atualizações devem ser fáceis de serem implantadas.
Comunicação: os desenvolvedores de software devem estar preparados para a descoberta de falhas na segurança do produto e devem se comunicar de forma aberta e responsável com os usuários finais e/ou administradores para ajudá-los a tomar medidas preventivas (tais como a instalação de patches ou o uso de medidas paliativas).

CLASP (Comprehensive, Lightweight Application Security Process)

O CLASP tem como propósito ser uma metodologia leve de fácil integração com um modelo tradicional de desenvolvimento de software. Ela fornece recursos e está organizada pelos seguintes componentes:

CLASP Views: Apresenta cinco perspectivas de alto nível que são detalhadas em atividades que podem ser aplicadas dentro do processo de desenvolvimento: Concepts View, Role-Based View, Activity-Assessment View, Activity-Implementation View e Vulnerability View.
CLASP Best Practices: Apresenta um conjunto de sete melhores práticas para o desenvolvimento seguro, que vão das análises de segurança até a definição e administração de métricas.
24 Atividades CLASP que podem ser direcionadas para o modelo de segurança desejado, atendendo não só as boas práticas mas abordagens para SOX e COBIT.
CLASP Resources (incluindo CLASP “Keywords”), que crescem a cada nova edição do projeto.
CLASP Taxonomy, que é integrada aos demais projetos do OWASP e adotada por empresas e organizações do mercado.

A base para implementação da CLASP são suas visões, as visões se interagem e são suportadas pelos outros componentes. Este processo atende a todas as necessidades de um processo de segurança em desenvolvimento de software e atende as diversas demandas associadas a segurança no desenvolvimento de software.

Conclusão

Com esta rápida abordagem sobre as duas principais referências em implementação de processos de segurança em desenvolvimento, podemos observar que a ISO/IEC 15.408 pode ser um objetivo a ser alcançado, critérios a serem atendidos, mas nunca irá lhe orientar, fornecer recursos que, servirão de base para a implementação do mesmo.

A segurança adequada de uma aplicação varia de acordo com o comportamento, posicionamento e dinâmica de diversos componentes e relacionamentos que vão muito além do que está escrito em uma norma. Atingir este resultado requer uma metodologia dinâmica, alinhada ao que vem ocorrendo no mercado e que seja capaz de estabelecer melhorias na mesma velocidade que as vulnerabilidades são descobertas. Este é o papel de opções como o Microsoft SDL e o CLASP, use-as e fique seguro.

Referências

Sobre o Autor

Wagner Elias, CBCP, SANS GIAC GHTQ, CobiT Foundation, ITIL Foundation, atua na área de Tecnologia da Informação há mais de 10 anos, tendo acumulado larga experiência em projetos de Segurança da Informação no Brasil e exterior. É co-fundador e sócio da Conviso IT Security, onde atua como Gerente de Pesquisa e Desenvolvimento, responsável pela elaboração de metodologias, gerenciamento de pesquisas em vulnerabilidades e soluções de proteção de informações e das equipes de consultores. Foi responsável pela fundação do capítulo Brasil do OWASP e é Diretor de Eventos do capítulo São Paulo da ISSA.