OWASP presentation on FISTA2011

790 views

Published on

Published in: Education, Technology, Business
0 Comments
0 Likes
Statistics
Notes
  • Be the first to comment

  • Be the first to like this

No Downloads
Views
Total views
790
On SlideShare
0
From Embeds
0
Number of Embeds
1
Actions
Shares
0
Downloads
11
Comments
0
Likes
0
Embeds 0
No embeds

No notes for slide

OWASP presentation on FISTA2011

  1. 1. Segurança * SoftwareUniversidade * Empresa OWASP ISCTE-IUL/ISTA/ADETTI-IUL Carlos Serrão Instituto Superior de Ciências do Trabalho e da Empresa carlos.serrao@iscte.pt Lisbon University Institute carlos.j.serrao@gmail.com IUL School of Technology and Architecture ADETTI-IUL http://www.carlosserrao.net http://blog.carlosserrao.net http://www.linkedin.com/in/carlosserrao
  2. 2. 3 e 4 de MaioFI AForum of ISCTE-IULSchool of Technologyand Architecture
  3. 3. Sobre mim…3 ¨ {Professor Auxiliar}@ISCTE-IUL/ISTA/DCTI ¨ {R&D, Consultor, PM}@ADETTI-IUL ¤Projectos. EC, Nacionais, Privados. ¨ {Líder}@PT.OWASP ¨ {Author}@* ¤Livros, Artigos, ... ¨ twitter.com/pontocom ¨ pt.linkedin.com/in/carlosserrao FISTA@2011 2011
  4. 4. “We wouldn’t have to spend so much time,money, and effort on network security if wedidn’t have such bad software security” Viega & McGraw, Building Secure Software, Addison Wesley
  5. 5. “the current state of security in commercialsoftware is rather distasteful, marked byembarrassing public reports of vulnerabilitiesand actual attacks (...) and continualexhortations to customers to performrudimentary checks and maintenance.” Jim Routh, Beautiful Security, OReilly
  6. 6. “Software buyers are literally crash testdummies for an industry that is remarkablyinsulated against liability” David Rice, Geekonomics: The Real Cost of Insecure Software, Addison-Wesley
  7. 7. So#ware
  8. 8. So#ware
  9. 9. Segurança de Software11 FISTA@2011 2011
  10. 10. Segurança de Software11 ¨ o software é ubíquo FISTA@2011 2011
  11. 11. Segurança de Software11 ¨ o software é ubíquo ¨ dependemos do software nos diversos aspectos da nossa vida FISTA@2011 2011
  12. 12. Segurança de Software11 ¨ o software é ubíquo ¨ dependemos do software nos diversos aspectos da nossa vida ¨ funções críticas de negócio dependem de software FISTA@2011 2011
  13. 13. Segurança de Software11 ¨ o software é ubíquo ¨ dependemos do software nos diversos aspectos da nossa vida ¨ funções críticas de negócio dependem de software ¨ software está cada vez mais exposto à Internet FISTA@2011 2011
  14. 14. Segurança de Software11 ¨ o software é ubíquo ¨ dependemos do software nos diversos aspectos da nossa vida ¨ funções críticas de negócio dependem de software ¨ software está cada vez mais exposto à Internet ¨ exposição aumentada torna o software visível para terceiros FISTA@2011 2011
  15. 15. Segurança de Software11 ¨ o software é ubíquo ¨ dependemos do software nos diversos aspectos da nossa vida ¨ funções críticas de negócio dependem de software ¨ software está cada vez mais exposto à Internet ¨ exposição aumentada torna o software visível para terceiros ¨ nem todas as pessoas são bem intencionadas FISTA@2011 2011
  16. 16. Problema no software12 FISTA@2011 2011
  17. 17. Problema no software12 Características do software actual FISTA@2011 2011
  18. 18. Problema no software12 Características do software actual ¨ Complexidade ¤ Ataques exploram bugs designados por vulnerabilidades ¤ Estima-se entre 5-50 bugs por 1000 linhas de código ¤ Windows XP 40 milhões de linhas de código FISTA@2011 2011
  19. 19. Problema no software12 Características do software actual ¨ Complexidade ¤ Ataques exploram bugs designados por vulnerabilidades ¤ Estima-se entre 5-50 bugs por 1000 linhas de código ¤ Windows XP 40 milhões de linhas de código ¨ Extensibilidade ¤ O que é o software nos nossos computadores? SO + software em produção + patches + 3rd party DLLs + device drivers + plugins + .... FISTA@2011 2011
  20. 20. Problema no software12 Características do software actual ¨ Complexidade ¤ Ataques exploram bugs designados por vulnerabilidades ¤ Estima-se entre 5-50 bugs por 1000 linhas de código ¤ Windows XP 40 milhões de linhas de código ¨ Extensibilidade ¤ O que é o software nos nossos computadores? SO + software em produção + patches + 3rd party DLLs + device drivers + plugins + .... ¨ Conectividade ¤ Internet (1+ biliões de utilizadores) + sistemas de controlo + PDAs + telemóveis + ... FISTA@2011 2011
  21. 21. Defeitos nosoftwareprovocamvulnerabilidades!
  22. 22. deficiências inerentes no modelo de defeitos no desenho ouprocessamento do software (web, implementação de interfaces deSOA, e-mail, etc.) e no modelo software com os utilizadoresassociado aos protocolos e (humanos ou processos de software)tecnologias usadas defeitos no desenho ouproblemas na arquitectura de implementação do processamento dosegurança do software input do softwaredefeitos nos componentes deexecução do software (middleware,frameworks, SO, etc.)defeitos no desenho ouimplementação dos interfaces desoftware com componentes doambiente de execução ou da aplicaçãoDefeitos nosoftwareprovocamvulnerabilidades!
  23. 23. Tipologia de um ataque aplicacional14 Network Layer OS Layer Application Network Layer Layer OS Layer Custom Back-end Application Application Database Layer (End-user Application Traffic interface) FISTA@2011 2011
  24. 24. Tipologia de um ataque aplicacional14 Network Layer OS Layer Application Network Layer Layer OS Layer Custom Back-end Application Application Database Layer (End-user Application Traffic interface) FISTA@2011 2011
  25. 25. Tipologia de um ataque aplicacional14 Network Layer OS Layer Application Network Layer Layer OS Layer Custom Back-end Application Application Database Layer (End-user Application Traffic interface) FISTA@2011 2011
  26. 26. Tipologia de um ataque aplicacional14 Network Layer OS Layer Application Network Layer Layer OS Layer Custom Back-end Application Application Database Layer (End-user Application Traffic interface) FISTA@2011 2011
  27. 27. Contexto16 ¨ Falta de percepção da segurança ¤as (algumas) organizações não investem o suficiente em segurança (ou investem incorretamente) ¤programadores não percebem os riscos de segurança (ou não podem ou querem perceber) n DISCLAIMER: não estou com isto a insinuar que *TODOS* os programadores são maus ;-) FISTA@2011 2011
  28. 28. Contexto17 Tendências   Cisco  para   2011 FISTA@2011 2011
  29. 29. Contexto18 Número médio de vulnerabilidades sérias encontradas em WebApps por sector (fonte: WhiteHat, 2010) FISTA@2011 2011
  30. 30. Contexto19 Percentagem de ocorrência de problemas de segurança em WebApps (fonte: WhiteHat, 2010) FISTA@2011 2011
  31. 31. ... an open community dedicated to enablingorganizations to develop, purchase, andmaintain applications that can be trusted
  32. 32. OWASP?21 ¨ Open Web Application Security Project ¤Promove o desenvolvimento seguro de software ¤Orientado para o desenvolvimento de serviços baseados na web ¤Focado principalmente em aspectos de desenvolvimento do que em web-design ¤Um fórum aberto para discussão ¤Um recurso gratuito e livre para qualquer equipa de desenvolvimento FISTA@2011 2011
  33. 33. OWASP?22 ¨ Open Web Application Security Project ¤ Organizaçãosem fins lucrativos, orientada para esforço voluntário n Todos os membros são voluntários n Todo o trabalho é “doado” por patrocinadores ¤ Oferecer recursos livres para a comunidade n Publicações, Artigos, Normas n Software de Testes e de Formação n Chapters Locais & Mailing Lists ¤ Suportada através de patrocínios n Suporte de empresas através de patrocínios financeiros ou de projectos n Patrocínios pessoais por parte dos membros FISTA@2011 2011
  34. 34. OWASP23 FISTA@2011 2011
  35. 35. OWASP24 FISTA@2011 2011
  36. 36. OWASP?25 FISTA@2011 2011
  37. 37. OWASP?26 ¨ Top 10 Web Application Security Risks/ Vulnerabilities ¤Uma lista dos 10 aspectos de segurança mais críticos ¤Actualizado numa base anual ¤Crescente aceitação pela indústria n Federal Trade Commission (US Gov) n US Defense Information Systems Agency n VISA (Cardholder Information Security Program) ¨ Está a ser adoptado como um standard de segurança para aplicações web FISTA@2011 2011
  38. 38. OWASP?27 h3p://www.owasp.org/index.php/Top_10 FISTA@2011 2011
  39. 39. OWASP28 FISTA@2011 2011
  40. 40. PT.OWASP29 ¨ … alguns dados ¨ Membros (ML) ¤~90 membros ¨ Web-site ¤http://www.owasp.org/index.php/Portuguese ¨ Mailling-List ¤owasp-portuguese@lists.owasp.org FISTA@2011 2011
  41. 41. História e Actividade30 ¨ 2007 ¤ Nasce o chapter português ¤ Actividade quase nula ¨ 2008 ¤ OWASP EU Summit 08 ¤ Albufeira, Algarve, Portugal ¨ 2009 ¤ owasp@IPCB (Castelo Branco), owasp@IPViseu (Viseu), owasp@UBI (Covilhã) ¤ IBWAS’09, Madrid ¨ 2010 ¤ owasp@ISCTE-IUL ¤ Samy Kamkar, How I met Your Girlfriend, Lisboa ¤ IBWAS’10, Lisboa ¨ 2011 ¤ OWASP SUMMIT 2011, Torres Vedras, 8th - 11th February FISTA@2011 2011
  42. 42. OWASP EU SUMMIT 200831 ¨ OWASP EU SUMMIT 2008 ¤1 semana, +100 pessoas (de todo o Mundo) ¤Apresentação de Projectos ¤Sessões de Trabalho ¤Formação ¤+ 1 dia de Demo na UAlg FISTA@2011 2011
  43. 43. IBWAS’0932 ¨ 1st. OWASP Iberic Web App Sec 2009 ¨ Dezembro 2009 ¤Universidade Politécnica de Madrid ¤Speakers, entre os quais Bruce Schneier FISTA@2011 2011
  44. 44. Samy Kamkar - Lisboa33 ¨ Sobre ¤ http://samy.pl ¤ @samykamkar ¤ desenvolveu 1º worm XSS para o MySpace n 1M utilizadores infectados < 24h ¤ co-fundador da Fonality, Inc. n produtos de IP PBX “think bad, do good” ¨ How I met Your Girlfriend ¤ BlackHat 2010 - LV, USA ¤ conjunto de novos ataques descobertos, executados através da Web, com o objectivo de conhecer a vossa namorada ;-) ¨ Integrado numa Tour Europeia patrocinada pela OWASP FISTA@2011 2011
  45. 45. IBWAS’1034 ¨ 2nd. OWASP Ibero-American Web App Sec 2010 ¨ Dezembro 2010 ¤ISCTE-IUL n Sessões Técnicas/Profissionais n Sessões de Research/Académicas ¤http://www.ibwas.com FISTA@2011 2011
  46. 46. OWASP SUMMIT 201135 FISTA@2011 2011
  47. 47. OWASP36 ¨ Recomendações (Universidades, CI) ¤Inclusão das boas práticas de segurança de aplicações no conteúdo dos cursos ou UCs ¤Definição de cursos avançados para formação de mão-de-obra na área ¤Fomentar e financiar investigação sobre segurança de aplicações ¤Promover a formação de profissionais capazes de actuar com ética e responsabilidade FISTA@2011 2011
  48. 48. OWASP37 ¨ O que pode a OWASP oferecer ¤know-how ¤ferramentas ¤Global Conference Committee ¤Global Education Committee ¤OWASP Academic Portal FISTA@2011 2011
  49. 49. Finalmente...38 ¨ … juntem-se a nós. ¨ Participem! ¤Mailing List ¤Blog ¤Reuniões ¤Eventos ¤Projectos ¤Ideias ¨ Informação útil ¤http://www.owasp.org ¤http://www.owasp.org/index.php/Portuguese FISTA@2011 2011
  50. 50. Segurança * SoftwareUniversidade * Empresa Visão da Segurança na Indústria de Software ISCTE-IUL/ISTA/ADETTI-IUL Carlos Serrão Instituto Superior de Ciências do Trabalho e da Empresa carlos.serrao@iscte.pt Lisbon University Institute carlos.j.serrao@gmail.com IUL School of Technology and Architecture ADETTI-IUL http://www.carlosserrao.net http://blog.carlosserrao.net http://www.linkedin.com/in/carlosserrao

×