Bezpieczeństwo aplikacji             Czy musi być aż tak źle?                  Wojciech Dworakowski                  OWASP...
whoamiWojciech Dworakowski Od 2003 - SecuRing  •   Zarządzanie zespołem testującym bezpieczeństwo      aplikacji i system...
Open Web Application Security ProjectMisja: Poprawa stanubezpieczeństwa aplikacji     100+ Local Chapters     1500+ OWAS...
AgendaBezpieczeństwo aplikacji – obecny stan   PrzykładyJak można to zrobić lepiej?Jak może pomóc OWASP?Podsumowanie ...
Czy podatności w aplikacjach są faktycznymproblemem?     Verizon 2012 Data Breach Investigations Report                   ...
Przykład 1: SQL injectionAplikacja o znaczeniu strategicznymKilkadziesiąt tysięcy użytkownikówProjekt rozwijany od kilku l...
Przykład 2: Kontrola dostępuAplikacja webowaTesty penetracyjne  Całkowity brak kontrolidostępu do danychDeveloper twierdz...
Przykład 3: Aplikacja mobilna                                                 Grafika: technabob.comUwierzytelnienie za po...
Nowe technologie – nowe źródła zagrożeńAJAXHTML5Aplikacje mobilneNFCMedia społecznościowe…                                ...
Jak można to zrobić lepiej?             Rosnące koszty usuwania             podatności                                    ...
Od czego zacząć?            zagrożenia                                  Żeby planować                                  zab...
• Zidentyfikowanie  zagrożeń                    • Wymagania• Scenariusze                   dotyczące  ataków              ...
Co dalej?Przegląd projektuKontrola podczas implementacjiTesty bezpieczeństwa przed wdrożeniemSzkolenie    • programistów  ...
Testowanie bezpieczeństwa• Niezbędne, bo może zawieść implementacja  założeń• Na podstawie zidentyfikowanych zagrożeń• Wed...
Jak może pomóc OWASP?              DETECT             PROTECT             LIFE-CYCLEDocumentation Top10              Devel...
OpenSAMMhttp://www.opensamm.orgSoftware Assurance Maturity Model  •Model dojrzałości dotyczący bezpieczeństwa w procesie  ...
OpenSAMMhttp://www.opensamm.org Dla każdej praktyki / poziomu dojrzałości  (4x3x3) opisane są:  •   Cel  •   Czynności  •...
OWASP Application Security Verification    Standard (ASVS) Testowanie zabezpieczeń,  które chronią przed  typowymi zagroż...
OWASP ASVS – c.d.Zastosowanie: Jako wzorzec – przy weryfikacji   (da się zastosować jako wzorzec audytowy) Jako wytyczne...
OWASP ASVS – Poziomy weryfikacjiPoziom 1 – Weryfikacja automatyczna   1A – Dynamic Scan   1B – Source Code ScanPoziom 2 ...
Podsumowanie• Myśl o bezpieczeństwie!  •   od planowania po wdrożenie i eksploatację systemu• Zaplanuj bezpieczeństwo  •  ...
Zapraszamy na spotkania OWASP Poland Wstęp wolny Streaming video Kraków      Wstępny termin: 2012-11-21 (środa), 18:00...
Upcoming SlideShare
Loading in …5
×

Bezpieczeństwo aplikacji czy musi być aż tak źle

792 views

Published on

Prezentacja z konferencji SECURE 2012 (Warszawa, 22-24.10.2012)

Aplikacje to prawdziwa pięta achillesowa współczesnych systemów IT. Zarówno własne doświadczenia jak i dostępne opracowania wskazują, że w większości aplikacji, niezależnie od stosowanej technologii, można znaleźć poważne podatności. Na domiar złego – zewnętrzne zabezpieczenia (firewalle, IPS, WAF, itp.) mają ograniczoną skuteczność dla ochrony aplikacji. Ciągle, najlepszą metodą radzenia sobie z ewentualnymi podatnościami w eksploatowanych aplikacjach jest unikanie ryzyka, czyli wytwarzanie, bądź zamawianie oprogramowania, które nie posiada istotnych błędów bezpieczeństwa. Ale czy jest to możliwe w praktyce?
Agenda:
- Wprowadzenie do problemu
- Kilka ciekawych przykładów
- Krótko o nowych źródłach ryzyka (AJAX, HTML5, aplikacje mobilne, NFC, ...)
- Przyczyny powstawania podatności we współczesnych aplikacjach.
- Jak postępować w trakcie tworzenia lub zamawiania aplikacji, żeby ograniczyć możliwość powstania istotnych błędów?
W szczególności krótko zostaną zaprezentowane ogólnodostępne narzędzia i dokumenty OWASP pomagające zbudować bezpieczne aplikacje (np.: ASVS - Application Security Verification Standard, OpenSAMM - Security Assurance Maturity Model, OWASP Cheat Sheets).

Published in: Technology
0 Comments
1 Like
Statistics
Notes
  • Be the first to comment

No Downloads
Views
Total views
792
On SlideShare
0
From Embeds
0
Number of Embeds
39
Actions
Shares
0
Downloads
0
Comments
0
Likes
1
Embeds 0
No embeds

No notes for slide

Bezpieczeństwo aplikacji czy musi być aż tak źle

  1. 1. Bezpieczeństwo aplikacji Czy musi być aż tak źle? Wojciech Dworakowski OWASP Poland Chapter LeaderOWASP SecuRing2012-10-24 Copyright © The OWASP Foundation Permission is granted to copy, distribute and/or modify this document under the terms of the OWASP License. The OWASP Foundation http://www.owasp.org
  2. 2. whoamiWojciech Dworakowski Od 2003 - SecuRing • Zarządzanie zespołem testującym bezpieczeństwo aplikacji i systemów IT Od 2011 – OWASP Poland Chapter Leader OWASP
  3. 3. Open Web Application Security ProjectMisja: Poprawa stanubezpieczeństwa aplikacji  100+ Local Chapters  1500+ OWASP Members  20000+ uczestników spotkańProjekty: dokumentacja, narzędziaOWASP w Polsce  Od 2007  Regularne spotkania w Krakowie i Warszawie http://www.owasp.org/index.php/Poland OWASP 3
  4. 4. AgendaBezpieczeństwo aplikacji – obecny stan  PrzykładyJak można to zrobić lepiej?Jak może pomóc OWASP?Podsumowanie OWASP 4
  5. 5. Czy podatności w aplikacjach są faktycznymproblemem? Verizon 2012 Data Breach Investigations Report OWASP
  6. 6. Przykład 1: SQL injectionAplikacja o znaczeniu strategicznymKilkadziesiąt tysięcy użytkownikówProjekt rozwijany od kilku lat, ok. 1 mln linii koduTesty penetracyjne blackbox  SQL injectionPrzegląd kodu  sklejanie SQLUsunięcie źródła problemu w praktyce niemożliweŁatanie  Testy  Kolejne podatności  Łatanie…Koszt: Poprawki, wizerunek, spór z klientem Wdrożenie poprawek, opóźnienie projektu OWASP
  7. 7. Przykład 2: Kontrola dostępuAplikacja webowaTesty penetracyjne  Całkowity brak kontrolidostępu do danychDeveloper twierdził że kontrola dostępu jest ale„nie włączona”„Włączenie” zajęło kilka tygodniPo „włączeniu” – znalezione kolejne przypadkiKoszt: Opóźnienie, kary umowne, wizerunek OWASP
  8. 8. Przykład 3: Aplikacja mobilna Grafika: technabob.comUwierzytelnienie za pomocą PINDodatkowo na urządzeniu dane wpostaci zaszyfrowanejKlucz szyfrowania generowany napodstawie PINEfekt Klucz można crackować off-line 4 cyfry = 10 tys. prób = kilka minutKoszt usunięcia: Zmiana algorytmu(po wdrożeniu) OWASP
  9. 9. Nowe technologie – nowe źródła zagrożeńAJAXHTML5Aplikacje mobilneNFCMedia społecznościowe… OWASP
  10. 10. Jak można to zrobić lepiej? Rosnące koszty usuwania podatności Utrzymanie Wdrażanie Wytwarzanie Projektowanie Definiowanie Wpisanie bezpieczeństwa w cały cykl rozwojowy aplikacji SDLC (Secuity in Development Lifecycle) OWASP
  11. 11. Od czego zacząć? zagrożenia Żeby planować zabezpieczenia trzeba znać: • zagrożenia • scenariusze atakówzabezpieczenia • potencjalne skutki aktywa skutki OWASP
  12. 12. • Zidentyfikowanie zagrożeń • Wymagania• Scenariusze dotyczące ataków bezpieczeństwa• Dobranie • Scenariusze zabezpieczeń testowe Niezbędne: • Doświadczenie • Umiejętność wczucia się w rolę atakującego OWASP
  13. 13. Co dalej?Przegląd projektuKontrola podczas implementacjiTesty bezpieczeństwa przed wdrożeniemSzkolenie • programistów • PM-ów, architektów, testerów OWASP
  14. 14. Testowanie bezpieczeństwa• Niezbędne, bo może zawieść implementacja założeń• Na podstawie zidentyfikowanych zagrożeń• Według ustalonych priorytetów• NIE black-box !• Pamiętaj o uwzględnieniu całego środowiska • Atakowany jest cały system a nie jeden element • Połączenia z innymi systemami, biblioteki, framework• Niezbędne doświadczenie OWASP
  15. 15. Jak może pomóc OWASP? DETECT PROTECT LIFE-CYCLEDocumentation Top10 Development Guide OpenSAMM ASVS Secure Coding Testing Guide Practices – Quick Reference Code Review GuideTools WebScarab ESAPI WebGoat Zed Attack Proxy AppSensor Education JBroFuzz ModSecurity Core Project Ruleset~140+ Projektówhttps://www.owasp.org/index.php/Category:OWASP_Project OWASP
  16. 16. OpenSAMMhttp://www.opensamm.orgSoftware Assurance Maturity Model •Model dojrzałości dotyczący bezpieczeństwa w procesie wytwarzania oprogramowania •4 Business Functions x 3 Security Practices •Każda z 12 „security practices” ma zdefiniowane 3 poziomy dojrzałości + poziom 0 jako punkt wyjściowy OWASP Źródło: www.owasp.org
  17. 17. OpenSAMMhttp://www.opensamm.org Dla każdej praktyki / poziomu dojrzałości (4x3x3) opisane są: • Cel • Czynności • Pytania do audytu • Rezultat wdrożenia • Miara sukcesu • Wpływ na koszty, niezbędny personel OWASP
  18. 18. OWASP Application Security Verification Standard (ASVS) Testowanie zabezpieczeń, które chronią przed typowymi zagrożeniami Celem oceny wg ASVS nie jest poszukiwanie podatności … ale sprawdzenie czy istnieją odpowiednie zabezpieczenia – zasady dobrej praktyki OWASP
  19. 19. OWASP ASVS – c.d.Zastosowanie: Jako wzorzec – przy weryfikacji (da się zastosować jako wzorzec audytowy) Jako wytyczne – dla developerów Jako specyfikacja – w kontraktach na wykonanie aplikacjiJest dostępny po polsku! Owasp.org -> ASVS -> Downloads -> ASVS in Polish http://owasp-asvs.googlecode.com/files/asvs-webapp- release-2009-pl.pdf OWASP
  20. 20. OWASP ASVS – Poziomy weryfikacjiPoziom 1 – Weryfikacja automatyczna  1A – Dynamic Scan  1B – Source Code ScanPoziom 2 – Weryfikacja ręczna  2A – Penetration Test  2B – Code ReviewPoziom 3 – Weryfikacja projektu  L2 + wszystkie biblioteki i serwisy + weryfikacja projektuPoziom 4 – Weryfikacja wewnętrzna  L3 + framework, narzędzia, etc + weryfikacja możliwości wprowadzenia złośliwego kodu OWASPŹródło: OWASP ASVS http://code.google.com/p/owasp-asvs/wiki/Approach
  21. 21. Podsumowanie• Myśl o bezpieczeństwie! • od planowania po wdrożenie i eksploatację systemu• Zaplanuj bezpieczeństwo • Identyfikacja zagrożeń • Planowanie zabezpieczeń• Testuj przed  Modelowanie zagrożeń• … i po  Testy penetracyjne, przeglądy konfiguracji, ...• Niezbędne - doświadczenie i metnalność atakującego OWASP
  22. 22. Zapraszamy na spotkania OWASP Poland Wstęp wolny Streaming video Kraków  Wstępny termin: 2012-11-21 (środa), 18:00  Krakowski Park Technologiczny Al. Jana Pawła II 41 L, III piętro Warszawahttps://www.owasp.org/index.php/PolandLista mailingowaFacebook: OWASP Poland Local ChapterTwitter: @owasppoland OWASP

×