Segurança * SoftwareUniversidade * Empresa                                                                                ...
3 e 4 de MaioFI             AForum of ISCTE-IULSchool of Technologyand Architecture
Sobre mim…3    ¨ {Professor Auxiliar}@ISCTE-IUL/ISTA/DCTI    ¨ {R&D, Consultor, PM}@ADETTI-IUL         ¤Projectos.    E...
“We wouldn’t have to spend so much time,money, and effort on network security if wedidn’t have such bad software security”...
“the current state of security in commercialsoftware is rather distasteful, marked byembarrassing public reports of vulner...
“Software buyers are literally crash testdummies for an industry that is remarkablyinsulated against liability”           ...
So#ware
So#ware
Segurança de Software11     FISTA@2011              2011
Segurança de Software11     ¨   o software é ubíquo     FISTA@2011                 2011
Segurança de Software11     ¨ o software é ubíquo     ¨ dependemos do software nos diversos aspectos        da nossa vid...
Segurança de Software11     ¨ o software é ubíquo     ¨ dependemos do software nos diversos aspectos        da nossa vid...
Segurança de Software11     ¨ o software é ubíquo     ¨ dependemos do software nos diversos aspectos        da nossa vid...
Segurança de Software11     ¨ o software é ubíquo     ¨ dependemos do software nos diversos aspectos        da nossa vid...
Segurança de Software11     ¨ o software é ubíquo     ¨ dependemos do software nos diversos aspectos        da nossa vid...
Problema no software12     FISTA@2011             2011
Problema no software12       Características do software actual     FISTA@2011                             2011
Problema no software12          Características do software actual     ¨   Complexidade          ¤ Ataques exploram bugs...
Problema no software12          Características do software actual     ¨   Complexidade          ¤ Ataques exploram bugs...
Problema no software12          Características do software actual     ¨   Complexidade          ¤ Ataques exploram bugs...
Defeitos nosoftwareprovocamvulnerabilidades!
deficiências inerentes no modelo de    defeitos no desenho ouprocessamento do software (web,        implementação de inter...
Tipologia de um ataque aplicacional14                                                    Network Layer                    ...
Tipologia de um ataque aplicacional14                                                    Network Layer                    ...
Tipologia de um ataque aplicacional14                                                    Network Layer                    ...
Tipologia de um ataque aplicacional14                                                    Network Layer                    ...
Contexto16     ¨   Falta de percepção da          segurança          ¤as (algumas) organizações            não investem ...
Contexto17     Tendências	       Cisco	  para	       2011       FISTA@2011        2011
Contexto18              Número médio de vulnerabilidades sérias encontradas              em WebApps por sector (fonte: Whi...
Contexto19           Percentagem de ocorrência de problemas de segurança em           WebApps (fonte: WhiteHat, 2010)     ...
... an open community dedicated to enablingorganizations to develop, purchase, andmaintain applications that can be trusted
OWASP?21     ¨   Open Web Application Security Project          ¤Promove  o desenvolvimento seguro de software          ...
OWASP?22     ¨   Open Web Application Security Project          ¤ Organizaçãosem fins lucrativos, orientada para        ...
OWASP23     FISTA@2011   2011
OWASP24     FISTA@2011   2011
OWASP?25     FISTA@2011   2011
OWASP?26     ¨   Top 10 Web Application Security Risks/          Vulnerabilities          ¤Uma   lista dos 10 aspectos d...
OWASP?27                  h3p://www.owasp.org/index.php/Top_10     FISTA@2011                                          2011
OWASP28     FISTA@2011   2011
PT.OWASP29     ¨   … alguns dados     ¨   Membros (ML)          ¤~90   membros     ¨   Web-site          ¤http://www....
História e Actividade30     ¨   2007          ¤ Nasce o chapter português          ¤ Actividade quase nula     ¨   200...
OWASP EU SUMMIT 200831     ¨   OWASP EU SUMMIT 2008          ¤1 semana, +100 pessoas (de todo o Mundo)          ¤Aprese...
IBWAS’0932     ¨ 1st. OWASP Iberic Web App Sec 2009     ¨ Dezembro 2009          ¤Universidade Politécnica de Madrid   ...
Samy Kamkar - Lisboa33     ¨   Sobre          ¤   http://samy.pl          ¤   @samykamkar          ¤   desenvolveu 1º ...
IBWAS’1034     ¨ 2nd. OWASP Ibero-American Web App Sec 2010     ¨ Dezembro 2010          ¤ISCTE-IUL           n Sessõe...
OWASP SUMMIT 201135     FISTA@2011          2011
OWASP36     ¨   Recomendações (Universidades, CI)          ¤Inclusão das boas práticas de segurança de            aplica...
OWASP37     ¨   O que pode a OWASP oferecer          ¤know-how          ¤ferramentas          ¤Global Conference Commi...
Finalmente...38     ¨ … juntem-se a nós.     ¨ Participem!          ¤Mailing   List          ¤Blog          ¤Reuniões...
Segurança * SoftwareUniversidade * Empresa  Visão da Segurança na Indústria de Software                               ISCT...
OWASP presentation on FISTA2011
OWASP presentation on FISTA2011
OWASP presentation on FISTA2011
OWASP presentation on FISTA2011
OWASP presentation on FISTA2011
Upcoming SlideShare
Loading in...5
×

OWASP presentation on FISTA2011

575

Published on

Published in: Education, Technology, Business
0 Comments
0 Likes
Statistics
Notes
  • Be the first to comment

  • Be the first to like this

No Downloads
Views
Total Views
575
On Slideshare
0
From Embeds
0
Number of Embeds
0
Actions
Shares
0
Downloads
8
Comments
0
Likes
0
Embeds 0
No embeds

No notes for slide

Transcript of "OWASP presentation on FISTA2011"

  1. 1. Segurança * SoftwareUniversidade * Empresa OWASP ISCTE-IUL/ISTA/ADETTI-IUL Carlos Serrão Instituto Superior de Ciências do Trabalho e da Empresa carlos.serrao@iscte.pt Lisbon University Institute carlos.j.serrao@gmail.com IUL School of Technology and Architecture ADETTI-IUL http://www.carlosserrao.net http://blog.carlosserrao.net http://www.linkedin.com/in/carlosserrao
  2. 2. 3 e 4 de MaioFI AForum of ISCTE-IULSchool of Technologyand Architecture
  3. 3. Sobre mim…3 ¨ {Professor Auxiliar}@ISCTE-IUL/ISTA/DCTI ¨ {R&D, Consultor, PM}@ADETTI-IUL ¤Projectos. EC, Nacionais, Privados. ¨ {Líder}@PT.OWASP ¨ {Author}@* ¤Livros, Artigos, ... ¨ twitter.com/pontocom ¨ pt.linkedin.com/in/carlosserrao FISTA@2011 2011
  4. 4. “We wouldn’t have to spend so much time,money, and effort on network security if wedidn’t have such bad software security” Viega & McGraw, Building Secure Software, Addison Wesley
  5. 5. “the current state of security in commercialsoftware is rather distasteful, marked byembarrassing public reports of vulnerabilitiesand actual attacks (...) and continualexhortations to customers to performrudimentary checks and maintenance.” Jim Routh, Beautiful Security, OReilly
  6. 6. “Software buyers are literally crash testdummies for an industry that is remarkablyinsulated against liability” David Rice, Geekonomics: The Real Cost of Insecure Software, Addison-Wesley
  7. 7. So#ware
  8. 8. So#ware
  9. 9. Segurança de Software11 FISTA@2011 2011
  10. 10. Segurança de Software11 ¨ o software é ubíquo FISTA@2011 2011
  11. 11. Segurança de Software11 ¨ o software é ubíquo ¨ dependemos do software nos diversos aspectos da nossa vida FISTA@2011 2011
  12. 12. Segurança de Software11 ¨ o software é ubíquo ¨ dependemos do software nos diversos aspectos da nossa vida ¨ funções críticas de negócio dependem de software FISTA@2011 2011
  13. 13. Segurança de Software11 ¨ o software é ubíquo ¨ dependemos do software nos diversos aspectos da nossa vida ¨ funções críticas de negócio dependem de software ¨ software está cada vez mais exposto à Internet FISTA@2011 2011
  14. 14. Segurança de Software11 ¨ o software é ubíquo ¨ dependemos do software nos diversos aspectos da nossa vida ¨ funções críticas de negócio dependem de software ¨ software está cada vez mais exposto à Internet ¨ exposição aumentada torna o software visível para terceiros FISTA@2011 2011
  15. 15. Segurança de Software11 ¨ o software é ubíquo ¨ dependemos do software nos diversos aspectos da nossa vida ¨ funções críticas de negócio dependem de software ¨ software está cada vez mais exposto à Internet ¨ exposição aumentada torna o software visível para terceiros ¨ nem todas as pessoas são bem intencionadas FISTA@2011 2011
  16. 16. Problema no software12 FISTA@2011 2011
  17. 17. Problema no software12 Características do software actual FISTA@2011 2011
  18. 18. Problema no software12 Características do software actual ¨ Complexidade ¤ Ataques exploram bugs designados por vulnerabilidades ¤ Estima-se entre 5-50 bugs por 1000 linhas de código ¤ Windows XP 40 milhões de linhas de código FISTA@2011 2011
  19. 19. Problema no software12 Características do software actual ¨ Complexidade ¤ Ataques exploram bugs designados por vulnerabilidades ¤ Estima-se entre 5-50 bugs por 1000 linhas de código ¤ Windows XP 40 milhões de linhas de código ¨ Extensibilidade ¤ O que é o software nos nossos computadores? SO + software em produção + patches + 3rd party DLLs + device drivers + plugins + .... FISTA@2011 2011
  20. 20. Problema no software12 Características do software actual ¨ Complexidade ¤ Ataques exploram bugs designados por vulnerabilidades ¤ Estima-se entre 5-50 bugs por 1000 linhas de código ¤ Windows XP 40 milhões de linhas de código ¨ Extensibilidade ¤ O que é o software nos nossos computadores? SO + software em produção + patches + 3rd party DLLs + device drivers + plugins + .... ¨ Conectividade ¤ Internet (1+ biliões de utilizadores) + sistemas de controlo + PDAs + telemóveis + ... FISTA@2011 2011
  21. 21. Defeitos nosoftwareprovocamvulnerabilidades!
  22. 22. deficiências inerentes no modelo de defeitos no desenho ouprocessamento do software (web, implementação de interfaces deSOA, e-mail, etc.) e no modelo software com os utilizadoresassociado aos protocolos e (humanos ou processos de software)tecnologias usadas defeitos no desenho ouproblemas na arquitectura de implementação do processamento dosegurança do software input do softwaredefeitos nos componentes deexecução do software (middleware,frameworks, SO, etc.)defeitos no desenho ouimplementação dos interfaces desoftware com componentes doambiente de execução ou da aplicaçãoDefeitos nosoftwareprovocamvulnerabilidades!
  23. 23. Tipologia de um ataque aplicacional14 Network Layer OS Layer Application Network Layer Layer OS Layer Custom Back-end Application Application Database Layer (End-user Application Traffic interface) FISTA@2011 2011
  24. 24. Tipologia de um ataque aplicacional14 Network Layer OS Layer Application Network Layer Layer OS Layer Custom Back-end Application Application Database Layer (End-user Application Traffic interface) FISTA@2011 2011
  25. 25. Tipologia de um ataque aplicacional14 Network Layer OS Layer Application Network Layer Layer OS Layer Custom Back-end Application Application Database Layer (End-user Application Traffic interface) FISTA@2011 2011
  26. 26. Tipologia de um ataque aplicacional14 Network Layer OS Layer Application Network Layer Layer OS Layer Custom Back-end Application Application Database Layer (End-user Application Traffic interface) FISTA@2011 2011
  27. 27. Contexto16 ¨ Falta de percepção da segurança ¤as (algumas) organizações não investem o suficiente em segurança (ou investem incorretamente) ¤programadores não percebem os riscos de segurança (ou não podem ou querem perceber) n DISCLAIMER: não estou com isto a insinuar que *TODOS* os programadores são maus ;-) FISTA@2011 2011
  28. 28. Contexto17 Tendências   Cisco  para   2011 FISTA@2011 2011
  29. 29. Contexto18 Número médio de vulnerabilidades sérias encontradas em WebApps por sector (fonte: WhiteHat, 2010) FISTA@2011 2011
  30. 30. Contexto19 Percentagem de ocorrência de problemas de segurança em WebApps (fonte: WhiteHat, 2010) FISTA@2011 2011
  31. 31. ... an open community dedicated to enablingorganizations to develop, purchase, andmaintain applications that can be trusted
  32. 32. OWASP?21 ¨ Open Web Application Security Project ¤Promove o desenvolvimento seguro de software ¤Orientado para o desenvolvimento de serviços baseados na web ¤Focado principalmente em aspectos de desenvolvimento do que em web-design ¤Um fórum aberto para discussão ¤Um recurso gratuito e livre para qualquer equipa de desenvolvimento FISTA@2011 2011
  33. 33. OWASP?22 ¨ Open Web Application Security Project ¤ Organizaçãosem fins lucrativos, orientada para esforço voluntário n Todos os membros são voluntários n Todo o trabalho é “doado” por patrocinadores ¤ Oferecer recursos livres para a comunidade n Publicações, Artigos, Normas n Software de Testes e de Formação n Chapters Locais & Mailing Lists ¤ Suportada através de patrocínios n Suporte de empresas através de patrocínios financeiros ou de projectos n Patrocínios pessoais por parte dos membros FISTA@2011 2011
  34. 34. OWASP23 FISTA@2011 2011
  35. 35. OWASP24 FISTA@2011 2011
  36. 36. OWASP?25 FISTA@2011 2011
  37. 37. OWASP?26 ¨ Top 10 Web Application Security Risks/ Vulnerabilities ¤Uma lista dos 10 aspectos de segurança mais críticos ¤Actualizado numa base anual ¤Crescente aceitação pela indústria n Federal Trade Commission (US Gov) n US Defense Information Systems Agency n VISA (Cardholder Information Security Program) ¨ Está a ser adoptado como um standard de segurança para aplicações web FISTA@2011 2011
  38. 38. OWASP?27 h3p://www.owasp.org/index.php/Top_10 FISTA@2011 2011
  39. 39. OWASP28 FISTA@2011 2011
  40. 40. PT.OWASP29 ¨ … alguns dados ¨ Membros (ML) ¤~90 membros ¨ Web-site ¤http://www.owasp.org/index.php/Portuguese ¨ Mailling-List ¤owasp-portuguese@lists.owasp.org FISTA@2011 2011
  41. 41. História e Actividade30 ¨ 2007 ¤ Nasce o chapter português ¤ Actividade quase nula ¨ 2008 ¤ OWASP EU Summit 08 ¤ Albufeira, Algarve, Portugal ¨ 2009 ¤ owasp@IPCB (Castelo Branco), owasp@IPViseu (Viseu), owasp@UBI (Covilhã) ¤ IBWAS’09, Madrid ¨ 2010 ¤ owasp@ISCTE-IUL ¤ Samy Kamkar, How I met Your Girlfriend, Lisboa ¤ IBWAS’10, Lisboa ¨ 2011 ¤ OWASP SUMMIT 2011, Torres Vedras, 8th - 11th February FISTA@2011 2011
  42. 42. OWASP EU SUMMIT 200831 ¨ OWASP EU SUMMIT 2008 ¤1 semana, +100 pessoas (de todo o Mundo) ¤Apresentação de Projectos ¤Sessões de Trabalho ¤Formação ¤+ 1 dia de Demo na UAlg FISTA@2011 2011
  43. 43. IBWAS’0932 ¨ 1st. OWASP Iberic Web App Sec 2009 ¨ Dezembro 2009 ¤Universidade Politécnica de Madrid ¤Speakers, entre os quais Bruce Schneier FISTA@2011 2011
  44. 44. Samy Kamkar - Lisboa33 ¨ Sobre ¤ http://samy.pl ¤ @samykamkar ¤ desenvolveu 1º worm XSS para o MySpace n 1M utilizadores infectados < 24h ¤ co-fundador da Fonality, Inc. n produtos de IP PBX “think bad, do good” ¨ How I met Your Girlfriend ¤ BlackHat 2010 - LV, USA ¤ conjunto de novos ataques descobertos, executados através da Web, com o objectivo de conhecer a vossa namorada ;-) ¨ Integrado numa Tour Europeia patrocinada pela OWASP FISTA@2011 2011
  45. 45. IBWAS’1034 ¨ 2nd. OWASP Ibero-American Web App Sec 2010 ¨ Dezembro 2010 ¤ISCTE-IUL n Sessões Técnicas/Profissionais n Sessões de Research/Académicas ¤http://www.ibwas.com FISTA@2011 2011
  46. 46. OWASP SUMMIT 201135 FISTA@2011 2011
  47. 47. OWASP36 ¨ Recomendações (Universidades, CI) ¤Inclusão das boas práticas de segurança de aplicações no conteúdo dos cursos ou UCs ¤Definição de cursos avançados para formação de mão-de-obra na área ¤Fomentar e financiar investigação sobre segurança de aplicações ¤Promover a formação de profissionais capazes de actuar com ética e responsabilidade FISTA@2011 2011
  48. 48. OWASP37 ¨ O que pode a OWASP oferecer ¤know-how ¤ferramentas ¤Global Conference Committee ¤Global Education Committee ¤OWASP Academic Portal FISTA@2011 2011
  49. 49. Finalmente...38 ¨ … juntem-se a nós. ¨ Participem! ¤Mailing List ¤Blog ¤Reuniões ¤Eventos ¤Projectos ¤Ideias ¨ Informação útil ¤http://www.owasp.org ¤http://www.owasp.org/index.php/Portuguese FISTA@2011 2011
  50. 50. Segurança * SoftwareUniversidade * Empresa Visão da Segurança na Indústria de Software ISCTE-IUL/ISTA/ADETTI-IUL Carlos Serrão Instituto Superior de Ciências do Trabalho e da Empresa carlos.serrao@iscte.pt Lisbon University Institute carlos.j.serrao@gmail.com IUL School of Technology and Architecture ADETTI-IUL http://www.carlosserrao.net http://blog.carlosserrao.net http://www.linkedin.com/in/carlosserrao
  1. A particular slide catching your eye?

    Clipping is a handy way to collect important slides you want to go back to later.

×