ISCTE-IUL/ISTA/ADETTI-IUL

Instituto Superior de Ciências do Trabalho e da EmpresaLisbon University Institute

IUL School of Technology and ArchitectureADETTI-IUL

Carlos Serrão

carlos.serrao@iscte.ptcarlos.j.serrao@gmail.com

http://www.carlosserrao.nethttp://blog.carlosserrao.nethttp://www.linkedin.com/in/carlosserrao

Segurança * Software Universidade * Empresa

OWASP

FI!AForum of ISCTE-IUL School of Technology and Architecture

3 e 4 de Maio

3 de Maio | tecnologias 4 de Maio | tecnologias e arquitectura

FISTA@2011 2011

Sobre mim…

¨ {Professor Auxiliar}@ISCTE-IUL/ISTA/DCTI¨ {R&D, Consultor, PM}@ADETTI-IUL

¤Projectos. EC, Nacionais, Privados.¨ {Líder}@PT.OWASP¨ {Author}@*

¤Livros, Artigos, ...

¨ twitter.com/pontocom¨pt.linkedin.com/in/carlosserrao

3

“We wouldn’t have to spend so much time, money, and effort on network security if we didn’t have such bad software security”

Viega & McGraw, Building Secure Software, Addison Wesley

“the current state of security in commercial software is rather distasteful, marked by embarrassing public reports of vulnerabilities and actual attacks (...) and continual exhortations to customers to perform rudimentary checks and maintenance.”

Jim Routh, Beautiful Security, O'Reilly

“Software buyers are literally crash test dummies for an industry that is remarkably insulated against liability”

David Rice, Geekonomics: The Real Cost of Insecure Software, Addison-Wesley

So#ware

So#ware

FISTA@2011 2011

Segurança de Software11

FISTA@2011 2011

Segurança de Software

¨o software é ubíquo11

FISTA@2011 2011

Segurança de Software

¨o software é ubíquo¨dependemos do software nos diversos aspectos

da nossa vida

11

FISTA@2011 2011

Segurança de Software

¨o software é ubíquo¨dependemos do software nos diversos aspectos

da nossa vida¨ funções críticas de negócio dependem de

software

11

FISTA@2011 2011

Segurança de Software

¨o software é ubíquo¨dependemos do software nos diversos aspectos

da nossa vida¨ funções críticas de negócio dependem de

software¨software está cada vez mais exposto à Internet

11

FISTA@2011 2011

Segurança de Software

¨o software é ubíquo¨dependemos do software nos diversos aspectos

da nossa vida¨ funções críticas de negócio dependem de

software¨software está cada vez mais exposto à Internet¨exposição aumentada torna o software visível

para terceiros

11

FISTA@2011 2011

Segurança de Software

¨o software é ubíquo¨dependemos do software nos diversos aspectos

da nossa vida¨ funções críticas de negócio dependem de

software¨software está cada vez mais exposto à Internet¨exposição aumentada torna o software visível

para terceiros¨nem todas as pessoas são bem intencionadas

11

FISTA@2011 2011

Problema no software12

FISTA@2011 2011

Problema no software

Características do software actual12

FISTA@2011 2011

Problema no software

Características do software actual¨ Complexidade

¤Ataques exploram bugs designados por vulnerabilidades¤Estima-se entre 5-50 bugs por 1000 linhas de código¤Windows XP 40 milhões de linhas de código

12

FISTA@2011 2011

Problema no software

Características do software actual¨ Complexidade

¤Ataques exploram bugs designados por vulnerabilidades¤Estima-se entre 5-50 bugs por 1000 linhas de código¤Windows XP 40 milhões de linhas de código

¨ Extensibilidade¤O que é o software nos nossos computadores? SO +

software em produção + patches + 3rd party DLLs + device drivers + plugins + ....

12

FISTA@2011 2011

Problema no software

Características do software actual¨ Complexidade

¤Ataques exploram bugs designados por vulnerabilidades¤Estima-se entre 5-50 bugs por 1000 linhas de código¤Windows XP 40 milhões de linhas de código

¨ Extensibilidade¤O que é o software nos nossos computadores? SO +

software em produção + patches + 3rd party DLLs + device drivers + plugins + ....

¨ Conectividade¤Internet (1+ biliões de utilizadores) + sistemas de

controlo + PDAs + telemóveis + ...

12

Defeitos no software provocam vulnerabilidades!

Defeitos no software provocam vulnerabilidades!

deficiências inerentes no modelo de processamento do software (web, SOA, e-mail, etc.) e no modelo associado aos protocolos e tecnologias usadas

problemas na arquitectura de segurança do software

defeitos nos componentes de execução do software (middleware, frameworks, SO, etc.)

defeitos no desenho ou implementação dos interfaces de software com componentes do ambiente de execução ou da aplicação

defeitos no desenho ou implementação de interfaces de software com os utilizadores (humanos ou processos de software)

defeitos no desenho ou implementação do processamento do input do software

FISTA@2011 2011

Tipologia de um ataque aplicacional14

Network Layer

OS Layer

Application Layer

(End-user interface)

Network Layer

OS Layer

Application Layer

Custom

ApplicationBack-end

Database

Application Traffic

FISTA@2011 2011

Tipologia de um ataque aplicacional14

Network Layer

OS Layer

Application Layer

(End-user interface)

Network Layer

OS Layer

Application Layer

Custom

ApplicationBack-end

Database

Application Traffic

FISTA@2011 2011

Tipologia de um ataque aplicacional14

Network Layer

OS Layer

Application Layer

(End-user interface)

Network Layer

OS Layer

Application Layer

Custom

ApplicationBack-end

Database

Application Traffic

FISTA@2011 2011

Tipologia de um ataque aplicacional14

Network Layer

OS Layer

Application Layer

(End-user interface)

Network Layer

OS Layer

Application Layer

Custom

ApplicationBack-end

Database

Application Traffic

FISTA@2011 2011

Contexto

¨ Falta de percepção da segurança¤as (algumas) organizações

não investem o suficiente em segurança (ou investem incorretamente)

¤programadores não percebem os riscos de segurança (ou não podem ou querem perceber)

nDISCLAIMER: não estou com isto a insinuar que *TODOS* os programadores são maus ;-)

16

FISTA@2011 2011

Contexto17

Tendências  Cisco  para  2011

FISTA@2011 2011

Contexto18

Número médio de vulnerabilidades sérias encontradasem WebApps por sector (fonte: WhiteHat, 2010)

FISTA@2011 2011

Contexto19

Percentagem de ocorrência de problemas de segurança emWebApps (fonte: WhiteHat, 2010)

... an open community dedicated to enabling organizations to develop, purchase, and maintain applications that can be trusted

FISTA@2011 2011

OWASP?21

¨Open Web Application Security Project¤Promove o desenvolvimento seguro de software¤Orientado para o desenvolvimento de serviços

baseados na web¤Focado principalmente em aspectos de

desenvolvimento do que em web-design¤Um fórum aberto para discussão¤Um recurso gratuito e livre para qualquer equipa

de desenvolvimento

FISTA@2011 2011

OWASP?

¨ Open Web Application Security Project¤Organização sem fins lucrativos, orientada para

esforço voluntárionTodos os membros são voluntáriosnTodo o trabalho é “doado” por patrocinadores

¤Oferecer recursos livres para a comunidadenPublicações, Artigos, NormasnSoftware de Testes e de FormaçãonChapters Locais & Mailing Lists

¤Suportada através de patrocíniosnSuporte de empresas através de patrocínios financeiros ou de

projectosnPatrocínios pessoais por parte dos membros

22

FISTA@2011 2011

OWASP23

FISTA@2011 2011

OWASP24

FISTA@2011 2011

OWASP?25

FISTA@2011 2011

OWASP?

¨ Top 10 Web Application Security Risks/Vulnerabilities¤Uma lista dos 10 aspectos de segurança mais

críticos¤Actualizado numa base anual¤Crescente aceitação pela indústria

nFederal Trade Commission (US Gov)nUS Defense Information Systems AgencynVISA (Cardholder Information Security Program)

¨ Está a ser adoptado como um standard de segurança para aplicações web

26

FISTA@2011 2011

OWASP?27

h3p://www.owasp.org/index.php/Top_10

FISTA@2011 2011

OWASP28

FISTA@2011 2011

PT.OWASP

¨… alguns dados

¨Membros (ML)¤~90 membros

¨Web-site¤http://www.owasp.org/index.php/Portuguese

¨Mailling-List¤owasp-portuguese@lists.owasp.org

29

FISTA@2011 2011

História e Actividade

¨ 2007¤ Nasce o chapter português¤ Actividade quase nula

¨ 2008¤ OWASP EU Summit 08¤ Albufeira, Algarve, Portugal

¨ 2009¤ owasp@IPCB (Castelo Branco), owasp@IPViseu (Viseu), owasp@UBI

(Covilhã)¤ IBWAS’09, Madrid

¨ 2010¤ owasp@ISCTE-IUL¤ Samy Kamkar, How I met Your Girlfriend, Lisboa¤ IBWAS’10, Lisboa

¨ 2011¤ OWASP SUMMIT 2011, Torres Vedras, 8th - 11th February

30

FISTA@2011 2011

OWASP EU SUMMIT 2008

¨OWASP EU SUMMIT 2008¤1 semana, +100 pessoas (de todo o Mundo)¤Apresentação de Projectos¤Sessões de Trabalho¤Formação¤+ 1 dia de Demo na UAlg

31

FISTA@2011 2011

IBWAS’09

¨1st. OWASP Iberic Web App Sec 2009¨Dezembro 2009

¤Universidade Politécnica de Madrid¤Speakers, entre os quais Bruce Schneier

32

FISTA@2011 2011

Samy Kamkar - Lisboa

¨ Sobre¤ http://samy.pl ¤ @samykamkar

¤ desenvolveu 1º worm XSS para o MySpacen 1M utilizadores infectados < 24h

¤ co-fundador da Fonality, Inc.n produtos de IP PBX

¨ How I met Your Girlfriend¤ BlackHat 2010 - LV, USA¤ conjunto de novos ataques descobertos, executados

através da Web, com o objectivo de conhecer a vossa namorada ;-)

¨ Integrado numa Tour Europeia patrocinada pela OWASP

33

“think bad, do good”

FISTA@2011 2011

IBWAS’10

¨2nd. OWASP Ibero-American Web App Sec 2010¨Dezembro 2010

¤ISCTE-IULnSessões Técnicas/ProfissionaisnSessões de Research/Académicas

¤http://www.ibwas.com

34

FISTA@2011 2011

OWASP SUMMIT 201135

FISTA@2011 2011

OWASP

¨Recomendações (Universidades, CI)¤Inclusão das boas práticas de segurança de

aplicações no conteúdo dos cursos ou UCs¤Definição de cursos avançados para formação de

mão-de-obra na área¤Fomentar e financiar investigação sobre

segurança de aplicações¤Promover a formação de profissionais capazes de

actuar com ética e responsabilidade

36

FISTA@2011 2011

OWASP

¨O que pode a OWASP oferecer¤know-how¤ferramentas¤Global Conference Committee¤Global Education Committee¤OWASP Academic Portal

37

FISTA@2011 2011

Finalmente...

¨ … juntem-se a nós.¨ Participem!

¤Mailing List¤Blog¤Reuniões¤Eventos¤Projectos¤Ideias

¨ Informação útil¤http://www.owasp.org ¤http://www.owasp.org/index.php/Portuguese

38

ISCTE-IUL/ISTA/ADETTI-IUL

Instituto Superior de Ciências do Trabalho e da EmpresaLisbon University Institute

IUL School of Technology and ArchitectureADETTI-IUL

Carlos Serrão

carlos.serrao@iscte.ptcarlos.j.serrao@gmail.com

http://www.carlosserrao.nethttp://blog.carlosserrao.nethttp://www.linkedin.com/in/carlosserrao

Segurança * Software Universidade * Empresa

Visão da Segurança na Indústria de Software