Segurança no desenvolvimento
de software
Marcelo M. Fleury
… #GOPHP, #GOJAVA, #PSL­GO, #FUG­BR, #CISSP­BR …
marcelomf@gmail.com
http://marcelomf.blogspot.com

Agenda
 Motivação
 Metodologias para desenvolvimento de
software
 Processos para o desenvolvimento de software
seguro
 Boas práticas
 Testes de invasão(pentest)
 Equipes especialistas
 Certificações

Motivação
 Vulnerabilidades
 Ataques
 Imagem
 Riscos
 ROI ­ Custo/Benefício

Metodologias para
desenvolvimento de software
 Cascata
 Rup
 Cmmi
 Mps/Br
 Spice
 ISO 12207
 Espiral
 Xp
 Scrum

Desenvolvimento de software
seguro
 SDL ­ Processos bem definidos aliados a
metodologia de desenvolvimento, possui como
foco único e exclusivo a segurança, exigindo
um SOC(Centro de operações de segurança) e
analises finais de segurança.
 OWASP/CLASP ­ Um 'framework\" com
processos bem definidos e flexiveis ao ponto
de viabilizar relacionamentos não custosos com
a metodologia de desenvolvimento de software
utilizada pela empresa.

SDL ­ Microsoft
 Comparação do SDL com o desenvolvimento
em espiral utilizado pela microsoft
Tarefas Introduzidas pelo Processo de Desenvolvimento Seguro (SDL)
Treinamento de Segurança Uso de Manutenção
Criação de Security
Ferramentas de
Arquitetura de Docs e Preparar Push Revisão
Kickoff de e Melhores Segurança
Melhores Segurança FerramentasPlano de Final de
Segurança Praticas de
para o Resposta e Resposta
Práticas Desenv. e Segurança
e Registro com Produto Teste a Incidentes
de Design Modelagem Teste
o SWI De Ameaças Penet.
Tarefas e Processos Tradicionais no Desenvolvimento de Produtos da Microsoft
Especificações
Teste e Verificação Ass. do
Lista de Recursos Do Design Suporte ao
Código
Guias de Qualidade Produto
Aprovação RTM
Docs de Arquitetura Service Packs/
Final
Cronogramas Espeficicações Desenvolvimento Correções
Correção de Bugs Rel. Cand.
Funcionais de Novo Código
Suporte
Requisitos Design Implementação Verificação Lançamento e
Manutenção

Boas práticas
 Treinamentos para a equipe de
desenvolvimento
 Privilégio Mínimo
 Execução Mínima
 Segregação de função
 TDD ­ Desenvolvimento orientado a testes

... Boas praticas
 Modelagem de ameaças
 Revisão de código
 Padrões de projeto
 Refactoring
 Manter­se atualizado(securityfocus, milworm,
etc)

Testes de invasão(pentest)
 OSSTMM ­ Metodologia open source para
testes de invasão.
 Externos X Internos, é importante que terceiros
testem o software desenvolvido, evitando assim
vícios da equipe de desenvolvimento e ou
segurança.

Tipos de testes de invasão
 White Box ­ Situação na qual o atacante possui
total acesso ao sistema e tudo aquilo que foi
utilizado para o desenvolvimento do
mesmo(códigos, documentação,
desenvolvedores...)
 Grey box ­ Situação na qual o atacante possui
a visão do usuário, com algumas facilidades
propostas pela empresa(acesso a binários, libs,
alguma documentação...)
 Black Box ­ Situação na qual o atacante inicia­
se como usuário.

Práticas em testes de invasão
 Automatizados, utilizando valores
aleatórios(fuzzing) e até mesmo inteligentes
 Manuais(know­how by tester, OWASP)
 Framework's de exploits(metasploit)
 Ferramentas para varreduras(nmap, nessus)
 Ferramentas para analise de código estático
 Ferramentas para engenharia
reversa/debug(gdb, olydbg)

Equipes especialistas
 Time de Resposta a incidentes
Equipe responsável por catalogar, amparar,
analisar e solucionar incidentes relacionados a
segurança.
 Centro de operações de segurança
Equipe responsável por amparar, auditar,
fiscalizar e esmiuçar os processos, técnicas e
métodos relativos a segurança, utilizados pela
a equipe de desenvolvimento.
 Hackers!

Certificações
 CISSP ­ Certified Information Systems Security
Professional
 CEH ­ Certified Ethical Hacker
 MCSO ­ Módulo Certified Security Officer
 CSSLP ­ Certified Secure Software Lifecycle
Professional

Perguntas ?

Obrigado!