Post on 21-Jun-2015
ISCTE-IUL/ISTA/ADETTI-IUL
Instituto Superior de Ciências do Trabalho e da EmpresaLisbon University Institute
IUL School of Technology and ArchitectureADETTI-IUL
Carlos Serrão
carlos.serrao@iscte.ptcarlos.j.serrao@gmail.com
http://www.carlosserrao.nethttp://blog.carlosserrao.nethttp://www.linkedin.com/in/carlosserrao
Segurança * Software Universidade * Empresa
OWASP
FI!AForum of ISCTE-IUL School of Technology and Architecture
3 e 4 de Maio
3 de Maio | tecnologias 4 de Maio | tecnologias e arquitectura
FISTA@2011 2011
Sobre mim…
¨ {Professor Auxiliar}@ISCTE-IUL/ISTA/DCTI¨ {R&D, Consultor, PM}@ADETTI-IUL
¤Projectos. EC, Nacionais, Privados.¨ {Líder}@PT.OWASP¨ {Author}@*
¤Livros, Artigos, ...
¨ twitter.com/pontocom¨pt.linkedin.com/in/carlosserrao
3
“We wouldn’t have to spend so much time, money, and effort on network security if we didn’t have such bad software security”
Viega & McGraw, Building Secure Software, Addison Wesley
“the current state of security in commercial software is rather distasteful, marked by embarrassing public reports of vulnerabilities and actual attacks (...) and continual exhortations to customers to perform rudimentary checks and maintenance.”
Jim Routh, Beautiful Security, O'Reilly
“Software buyers are literally crash test dummies for an industry that is remarkably insulated against liability”
David Rice, Geekonomics: The Real Cost of Insecure Software, Addison-Wesley
So#ware
So#ware
FISTA@2011 2011
Segurança de Software11
FISTA@2011 2011
Segurança de Software
¨o software é ubíquo11
FISTA@2011 2011
Segurança de Software
¨o software é ubíquo¨dependemos do software nos diversos aspectos
da nossa vida
11
FISTA@2011 2011
Segurança de Software
¨o software é ubíquo¨dependemos do software nos diversos aspectos
da nossa vida¨ funções críticas de negócio dependem de
software
11
FISTA@2011 2011
Segurança de Software
¨o software é ubíquo¨dependemos do software nos diversos aspectos
da nossa vida¨ funções críticas de negócio dependem de
software¨software está cada vez mais exposto à Internet
11
FISTA@2011 2011
Segurança de Software
¨o software é ubíquo¨dependemos do software nos diversos aspectos
da nossa vida¨ funções críticas de negócio dependem de
software¨software está cada vez mais exposto à Internet¨exposição aumentada torna o software visível
para terceiros
11
FISTA@2011 2011
Segurança de Software
¨o software é ubíquo¨dependemos do software nos diversos aspectos
da nossa vida¨ funções críticas de negócio dependem de
software¨software está cada vez mais exposto à Internet¨exposição aumentada torna o software visível
para terceiros¨nem todas as pessoas são bem intencionadas
11
FISTA@2011 2011
Problema no software12
FISTA@2011 2011
Problema no software
Características do software actual12
FISTA@2011 2011
Problema no software
Características do software actual¨ Complexidade
¤Ataques exploram bugs designados por vulnerabilidades¤Estima-se entre 5-50 bugs por 1000 linhas de código¤Windows XP 40 milhões de linhas de código
12
FISTA@2011 2011
Problema no software
Características do software actual¨ Complexidade
¤Ataques exploram bugs designados por vulnerabilidades¤Estima-se entre 5-50 bugs por 1000 linhas de código¤Windows XP 40 milhões de linhas de código
¨ Extensibilidade¤O que é o software nos nossos computadores? SO +
software em produção + patches + 3rd party DLLs + device drivers + plugins + ....
12
FISTA@2011 2011
Problema no software
Características do software actual¨ Complexidade
¤Ataques exploram bugs designados por vulnerabilidades¤Estima-se entre 5-50 bugs por 1000 linhas de código¤Windows XP 40 milhões de linhas de código
¨ Extensibilidade¤O que é o software nos nossos computadores? SO +
software em produção + patches + 3rd party DLLs + device drivers + plugins + ....
¨ Conectividade¤Internet (1+ biliões de utilizadores) + sistemas de
controlo + PDAs + telemóveis + ...
12
Defeitos no software provocam vulnerabilidades!
Defeitos no software provocam vulnerabilidades!
deficiências inerentes no modelo de processamento do software (web, SOA, e-mail, etc.) e no modelo associado aos protocolos e tecnologias usadas
problemas na arquitectura de segurança do software
defeitos nos componentes de execução do software (middleware, frameworks, SO, etc.)
defeitos no desenho ou implementação dos interfaces de software com componentes do ambiente de execução ou da aplicação
defeitos no desenho ou implementação de interfaces de software com os utilizadores (humanos ou processos de software)
defeitos no desenho ou implementação do processamento do input do software
FISTA@2011 2011
Tipologia de um ataque aplicacional14
Network Layer
OS Layer
Application Layer
(End-user interface)
Network Layer
OS Layer
Application Layer
Custom
ApplicationBack-end
Database
Application Traffic
FISTA@2011 2011
Tipologia de um ataque aplicacional14
Network Layer
OS Layer
Application Layer
(End-user interface)
Network Layer
OS Layer
Application Layer
Custom
ApplicationBack-end
Database
Application Traffic
FISTA@2011 2011
Tipologia de um ataque aplicacional14
Network Layer
OS Layer
Application Layer
(End-user interface)
Network Layer
OS Layer
Application Layer
Custom
ApplicationBack-end
Database
Application Traffic
FISTA@2011 2011
Tipologia de um ataque aplicacional14
Network Layer
OS Layer
Application Layer
(End-user interface)
Network Layer
OS Layer
Application Layer
Custom
ApplicationBack-end
Database
Application Traffic
FISTA@2011 2011
Contexto
¨ Falta de percepção da segurança¤as (algumas) organizações
não investem o suficiente em segurança (ou investem incorretamente)
¤programadores não percebem os riscos de segurança (ou não podem ou querem perceber)
nDISCLAIMER: não estou com isto a insinuar que *TODOS* os programadores são maus ;-)
16
FISTA@2011 2011
Contexto17
Tendências Cisco para 2011
FISTA@2011 2011
Contexto18
Número médio de vulnerabilidades sérias encontradasem WebApps por sector (fonte: WhiteHat, 2010)
FISTA@2011 2011
Contexto19
Percentagem de ocorrência de problemas de segurança emWebApps (fonte: WhiteHat, 2010)
... an open community dedicated to enabling organizations to develop, purchase, and maintain applications that can be trusted
FISTA@2011 2011
OWASP?21
¨Open Web Application Security Project¤Promove o desenvolvimento seguro de software¤Orientado para o desenvolvimento de serviços
baseados na web¤Focado principalmente em aspectos de
desenvolvimento do que em web-design¤Um fórum aberto para discussão¤Um recurso gratuito e livre para qualquer equipa
de desenvolvimento
FISTA@2011 2011
OWASP?
¨ Open Web Application Security Project¤Organização sem fins lucrativos, orientada para
esforço voluntárionTodos os membros são voluntáriosnTodo o trabalho é “doado” por patrocinadores
¤Oferecer recursos livres para a comunidadenPublicações, Artigos, NormasnSoftware de Testes e de FormaçãonChapters Locais & Mailing Lists
¤Suportada através de patrocíniosnSuporte de empresas através de patrocínios financeiros ou de
projectosnPatrocínios pessoais por parte dos membros
22
FISTA@2011 2011
OWASP23
FISTA@2011 2011
OWASP24
FISTA@2011 2011
OWASP?25
FISTA@2011 2011
OWASP?
¨ Top 10 Web Application Security Risks/Vulnerabilities¤Uma lista dos 10 aspectos de segurança mais
críticos¤Actualizado numa base anual¤Crescente aceitação pela indústria
nFederal Trade Commission (US Gov)nUS Defense Information Systems AgencynVISA (Cardholder Information Security Program)
¨ Está a ser adoptado como um standard de segurança para aplicações web
26
FISTA@2011 2011
OWASP?27
h3p://www.owasp.org/index.php/Top_10
FISTA@2011 2011
OWASP28
FISTA@2011 2011
PT.OWASP
¨… alguns dados
¨Membros (ML)¤~90 membros
¨Web-site¤http://www.owasp.org/index.php/Portuguese
¨Mailling-List¤owasp-portuguese@lists.owasp.org
29
FISTA@2011 2011
História e Actividade
¨ 2007¤ Nasce o chapter português¤ Actividade quase nula
¨ 2008¤ OWASP EU Summit 08¤ Albufeira, Algarve, Portugal
¨ 2009¤ owasp@IPCB (Castelo Branco), owasp@IPViseu (Viseu), owasp@UBI
(Covilhã)¤ IBWAS’09, Madrid
¨ 2010¤ owasp@ISCTE-IUL¤ Samy Kamkar, How I met Your Girlfriend, Lisboa¤ IBWAS’10, Lisboa
¨ 2011¤ OWASP SUMMIT 2011, Torres Vedras, 8th - 11th February
30
FISTA@2011 2011
OWASP EU SUMMIT 2008
¨OWASP EU SUMMIT 2008¤1 semana, +100 pessoas (de todo o Mundo)¤Apresentação de Projectos¤Sessões de Trabalho¤Formação¤+ 1 dia de Demo na UAlg
31
FISTA@2011 2011
IBWAS’09
¨1st. OWASP Iberic Web App Sec 2009¨Dezembro 2009
¤Universidade Politécnica de Madrid¤Speakers, entre os quais Bruce Schneier
32
FISTA@2011 2011
Samy Kamkar - Lisboa
¨ Sobre¤ http://samy.pl ¤ @samykamkar
¤ desenvolveu 1º worm XSS para o MySpacen 1M utilizadores infectados < 24h
¤ co-fundador da Fonality, Inc.n produtos de IP PBX
¨ How I met Your Girlfriend¤ BlackHat 2010 - LV, USA¤ conjunto de novos ataques descobertos, executados
através da Web, com o objectivo de conhecer a vossa namorada ;-)
¨ Integrado numa Tour Europeia patrocinada pela OWASP
33
“think bad, do good”
FISTA@2011 2011
IBWAS’10
¨2nd. OWASP Ibero-American Web App Sec 2010¨Dezembro 2010
¤ISCTE-IULnSessões Técnicas/ProfissionaisnSessões de Research/Académicas
¤http://www.ibwas.com
34
FISTA@2011 2011
OWASP SUMMIT 201135
FISTA@2011 2011
OWASP
¨Recomendações (Universidades, CI)¤Inclusão das boas práticas de segurança de
aplicações no conteúdo dos cursos ou UCs¤Definição de cursos avançados para formação de
mão-de-obra na área¤Fomentar e financiar investigação sobre
segurança de aplicações¤Promover a formação de profissionais capazes de
actuar com ética e responsabilidade
36
FISTA@2011 2011
OWASP
¨O que pode a OWASP oferecer¤know-how¤ferramentas¤Global Conference Committee¤Global Education Committee¤OWASP Academic Portal
37
FISTA@2011 2011
Finalmente...
¨ … juntem-se a nós.¨ Participem!
¤Mailing List¤Blog¤Reuniões¤Eventos¤Projectos¤Ideias
¨ Informação útil¤http://www.owasp.org ¤http://www.owasp.org/index.php/Portuguese
38
ISCTE-IUL/ISTA/ADETTI-IUL
Instituto Superior de Ciências do Trabalho e da EmpresaLisbon University Institute
IUL School of Technology and ArchitectureADETTI-IUL
Carlos Serrão
carlos.serrao@iscte.ptcarlos.j.serrao@gmail.com
http://www.carlosserrao.nethttp://blog.carlosserrao.nethttp://www.linkedin.com/in/carlosserrao
Segurança * Software Universidade * Empresa
Visão da Segurança na Indústria de Software