Vulnerabilidades e Segurança em Aplicações Web

Leonardo Andrade

Nelson Novaes Neto

Campus Party Brasil - 2011

A Web é 100% BUG Free?

All rights reserved.

O gigante adormecido...

Quem quer dinheiro?

Como acessar informações de 1 milhão de amigos?

Como acessar informações de 1 milhão de amigos?

“...Within just 20 hours of its October 4, 2005 release, over one million users had run the payload,making Samy one of the fastest spreading viruses of all time...

Vulnerabilidade no Controle de Privacidade?

Vetores de Ataques

(TrustWave, 2011)

Código = Dinheiro?

“...o custo total de falhas de segurança é de aproximadamente 180 bilhões de doláres ao ano.” (Rice, 2010)

Quais são os riscos?

All rights reserved.

‣ Segurança?

Quais são os riscos?

All rights reserved.

‣ Segurança?

‣ Privacidade?

Quais são os riscos?

All rights reserved.

‣ Segurança?

‣ Privacidade?

‣ Financeiro?

Quais são os riscos?

All rights reserved.

‣ Segurança?

‣ Privacidade?

‣ Financeiro?

‣ Outros?

Quais são os riscos?

All rights reserved.

‣ Segurança?

‣ Privacidade?

‣ Financeiro?

‣ Outros?

‣ Quem paga o Bug?

Quais são os riscos?

All rights reserved.

‣ Segurança?

‣ Privacidade?

‣ Financeiro?

‣ Outros?

‣ Quem paga o Bug?

‣ DO IT RIGHT!

Quais são os riscos?

All rights reserved.

0 Bugs + Segurança + Privacidade + WAF + IPS + Firewall + $$$

All rights reserved.

No Silver Bullet

All rights reserved.

Como trabalhar juntos?

All rights reserved.

Responsabilidade Social

All rights reserved.

Segurança em Profundidade

All rights reserved.

Secure Development Lifecycle

Fonte: Software Security - Building Security In (Gary McGraw, 2006)

$./Behavior-based-safety --help | grep “Análise do Comportamento”

(McSween, 2003)

All rights reserved.

Educação

All rights reserved.

International Information Systems Security Certification Consortium

(ISC)2http://www.isc2.org

Ferramentas de Trabalhohttp://www.cert.br

Ferramentas de Trabalhohttp://www.cert.br

Ferramentas de Trabalhohttp://www.cert.br

Ferramentas de Trabalho

Ferramentas de Trabalho

Ferramentas de Trabalho

Ferramentas de Trabalho

Ferramentas de Trabalho

Open Web Application Security Project

http://owasp.org

Open Web Application Security Project

http://owasp.org

Open Web Application Security Project

http://owasp.org

Open Web Application Security Project

http://owasp.org

Open Web Application Security Project

http://owasp.org

Microsoft - Melhorias de Segurança Mensuráveis

O final será mais econômico, considerando:

All rights reserved.

O final será mais econômico, considerando:

‣ Redução do retrabalho

All rights reserved.

O final será mais econômico, considerando:

‣ Redução do retrabalho

‣ Teamwork

All rights reserved.

O final será mais econômico, considerando:

‣ Redução do retrabalho

‣ Teamwork

‣ Aspectos legaisAll rights reserved.

O final será mais econômico, considerando:

‣ Redução do retrabalho

‣ Teamwork

‣ Aspectos legais

‣ Credibilidade da marcaAll rights reserved.

O final será mais econômico, considerando:

‣ Redução do retrabalho

‣ Teamwork

‣ Aspectos legais

‣ Credibilidade da marca

‣ Gestão de Risco

All rights reserved.

O final será mais econômico, considerando:

‣ Redução do retrabalho

‣ Teamwork

‣ Aspectos legais

‣ Credibilidade da marca

‣ Gestão de Risco

‣ Seu sucesso!

All rights reserved.

Scripture, 1895

Educação + Segurança + Privacidade

All rights reserved.

Educação + Segurança + Privacidade

A nossa Web pode ser 10!

All rights reserved.

Obrigado!Leonardo Andrade <leonardobuonsanti@uol.com.br>

Nelson Novaes Neto <nnovaes@psyzone.org>