Bezpieczeństwo wytwarzanego oprogramowania nie jest wynikiem przypadku. Żeby otrzymać aplikację wolną od podatności trzeba wpisać bezpieczeństwo w cały cykl rozwojowy oprogramowania.
Postanowiliśmy sprawdzić czy i jakie metody osiągnięcia tego celu są stosowane w firmach tworzących oprogramowanie.
Prezentujemy raport z badania praktyk wytwarzania bezpiecznego oprogramowania przeprowadzonego przez nas podczas konferencji 4Developers 2014.
OWASP CISO Survey 2014 - Wstępne wyniki badania w PolsceSecuRing
Wstępne wyniki badania ankietowego "OWASP CISO Survey 2014" w Polsce.
Badanie dotyczy postrzegania problemów bezpieczeństwa aplikacji przez managerów ITsec. Czy są to dla nich problemy ważne? Jak sobie z nimi radzą? Jakie przeszkody stoją na drodze do ograniczenia ryzyka?
Wstępne wyniki tegorocznego badania w Polsce i porównanie z wynikami anakiety światowej z 2013.
Pełny raport z badania zostanie udostępniony po przetworzeniu wyników zebranych przez OWASP na całym Świecie.
Kolejna wersja popularnego języka PHP wniosła zupełnie nową jakość do tworzenia aplikacji internetowych. PHP5 to w pełni obiektowe środowisko, pozwalające na korzystanie z wszystkich nowoczesnych technologii sieciowych i budowanie wydajnych oraz, co najważniejsze, bezpiecznych systemów. Przed twórcami aplikacji otwarły się bramy do protokołu SOAP, usług sieciowych, ogromnych możliwości języka XML i znacznie wydajniejszych połączeń z bazami danych.
Książka "PHP5. Profesjonalne tworzenie oprogramowania" jest przeznaczona właśnie dla takich programistów -- tych, którzy opanowali poprzednie wersje PHP i chcą poznać możliwości, jakie oferuje jego najnowsze wcielenie. Przedstawia tajniki projektowania i programowania obiektowego, ze szczególnym uwzględnieniem stosowania wzorców projektowych i testowania za pomocą biblioteki PHPUnit. Opisuje możliwości zastosowania w aplikacjach PHP języka XML, protokołu SOAP i zaawansowanych technik operowania na bazach danych. Czytając ją, poznasz również metody automatycznego dokumentowania kodu oraz modelowania aplikacji za pomocą języka UML i dostępnych bezpłatnie narzędzi ArgoUML i Poseidon for UML.
* Klasy i obiekty
* Serializacja obiektów
* Mechanizmy dziedziczenia
* Korzystanie z biblioteki PHPUnit do testowania aplikacji
* Stosowanie wzorców projektowych
* Wzorce konstrukcyjne i strukturalne oraz wzorce zachowań
* Obsługa języka XML w PHP5
* Tworzenie usług sieciowych
* Wykorzystywanie możliwości rozszerzenia MySQL
* Komunikacja z bazami danych za pomocą Creole i Propel
* Tworzenie dokumentacji kodu z wykorzystaniem narzędzia phpDocumentator
* Modelowanie aplikacji w języku UML
Wykorzystaj najnowszą wersję PHP5do stworzenia szybkich i bezpiecznych aplikacji internetowych.
"Średnie Kroczące i Oscylatory" to kolejna z cyklu prezentacji przeznaczonych dla osób początkujących na rynku FOREX.
Przedstawia ona podstawowe pojęcia związane z rynkiem walutowym takie jak: lot, pips, spread itp.
Inne prezentacje dla osób początkujących:
- Wprowadzenie do Analizy Technicznej
- Wprowadzenie do Analizy Fundamentalnej
- Świece japońskie
- Różne metody inwestycyjne
- Gotowe strategie
Strefa Forex to portal analityczno-edukacyjny dedykowany profesjonalnym inwestorom. Szkolenia, analizy, gotowe strategie. Wszystko o Rynku Forex.
Zapraszamy na:
strefaforex.pl
OWASP CISO Survey 2014 - Wstępne wyniki badania w PolsceSecuRing
Wstępne wyniki badania ankietowego "OWASP CISO Survey 2014" w Polsce.
Badanie dotyczy postrzegania problemów bezpieczeństwa aplikacji przez managerów ITsec. Czy są to dla nich problemy ważne? Jak sobie z nimi radzą? Jakie przeszkody stoją na drodze do ograniczenia ryzyka?
Wstępne wyniki tegorocznego badania w Polsce i porównanie z wynikami anakiety światowej z 2013.
Pełny raport z badania zostanie udostępniony po przetworzeniu wyników zebranych przez OWASP na całym Świecie.
Kolejna wersja popularnego języka PHP wniosła zupełnie nową jakość do tworzenia aplikacji internetowych. PHP5 to w pełni obiektowe środowisko, pozwalające na korzystanie z wszystkich nowoczesnych technologii sieciowych i budowanie wydajnych oraz, co najważniejsze, bezpiecznych systemów. Przed twórcami aplikacji otwarły się bramy do protokołu SOAP, usług sieciowych, ogromnych możliwości języka XML i znacznie wydajniejszych połączeń z bazami danych.
Książka "PHP5. Profesjonalne tworzenie oprogramowania" jest przeznaczona właśnie dla takich programistów -- tych, którzy opanowali poprzednie wersje PHP i chcą poznać możliwości, jakie oferuje jego najnowsze wcielenie. Przedstawia tajniki projektowania i programowania obiektowego, ze szczególnym uwzględnieniem stosowania wzorców projektowych i testowania za pomocą biblioteki PHPUnit. Opisuje możliwości zastosowania w aplikacjach PHP języka XML, protokołu SOAP i zaawansowanych technik operowania na bazach danych. Czytając ją, poznasz również metody automatycznego dokumentowania kodu oraz modelowania aplikacji za pomocą języka UML i dostępnych bezpłatnie narzędzi ArgoUML i Poseidon for UML.
* Klasy i obiekty
* Serializacja obiektów
* Mechanizmy dziedziczenia
* Korzystanie z biblioteki PHPUnit do testowania aplikacji
* Stosowanie wzorców projektowych
* Wzorce konstrukcyjne i strukturalne oraz wzorce zachowań
* Obsługa języka XML w PHP5
* Tworzenie usług sieciowych
* Wykorzystywanie możliwości rozszerzenia MySQL
* Komunikacja z bazami danych za pomocą Creole i Propel
* Tworzenie dokumentacji kodu z wykorzystaniem narzędzia phpDocumentator
* Modelowanie aplikacji w języku UML
Wykorzystaj najnowszą wersję PHP5do stworzenia szybkich i bezpiecznych aplikacji internetowych.
"Średnie Kroczące i Oscylatory" to kolejna z cyklu prezentacji przeznaczonych dla osób początkujących na rynku FOREX.
Przedstawia ona podstawowe pojęcia związane z rynkiem walutowym takie jak: lot, pips, spread itp.
Inne prezentacje dla osób początkujących:
- Wprowadzenie do Analizy Technicznej
- Wprowadzenie do Analizy Fundamentalnej
- Świece japońskie
- Różne metody inwestycyjne
- Gotowe strategie
Strefa Forex to portal analityczno-edukacyjny dedykowany profesjonalnym inwestorom. Szkolenia, analizy, gotowe strategie. Wszystko o Rynku Forex.
Zapraszamy na:
strefaforex.pl
Półwysep Bałkański jest od XIX wieku miejscem licznych konfliktów, a zróżnicowania etniczne i kulturowe ludności, zamieszkującej tę część Europy powodują, że sytuacja geopolityczna nie została ustabilizowana do dziś.
Czytanie kodu. Punkt widzenia twórców oprogramowania open sourceWydawnictwo Helion
Książka "Czytanie kodu. Punkt widzenia twórców oprogramowania" open source to pierwszy na rynku podręcznik poświęcony czytaniu kodu źródłowego jako osobnej dziedzinie wiedzy, której znajomość jest przydatna każdemu programiście. Ponad 600 przykładów, w których wykorzystywane są kody oprogramowania open source , przedstawia sposoby identyfikowania dobrego i złego kodu, czytania go, przeszukiwania pod kątem konkretnych funkcji oraz wykorzystywania umiejętności czytania kodu do poprawy jakości kodów źródłowych pisanych samodzielnie.
* Podstawowe konstrukcje sterujące działaniem programu
* Proste i złożone typy danych
* Struktury i unie
* Dynamiczne zarządzanie pamięcią
* Metody analizy projektów informatycznych
* Konwencje pisania i formatowania kodu źródłowego
* Tworzenie i czytanie dokumentacji
* Architektura systemów
Poznaj umiejętność czytania kodu źródłowego i popraw samodzielnie pisany kod.
Cg to kompletne środowisko programistyczne do szybkiego tworzenia efektów specjalnych i grafiki o kinowej jakości w czasie rzeczywistym dla wielu platform. Ponieważ język jest niezależny od sprzętu, programiści mogą pisać kod dla interfejsów OpenGL, DirectX oraz systemów Windows, Linux, Mac OS X, a także platform konsolowych, (Xbox) bez potrzeby korzystania z języka asemblerowego. Język Cg powstał w firmie NVIDIA Corporation przy bliskiej współpracy z firmą Microsoft® Corporation i jest kompatybilny z OpenGL API oraz językiem HLSL dla biblioteki DirectX 9.
Książka jest podręcznikiem przeznaczonym dla średnio zaawansowanych programistów. Opisuje ona zarówno sam język programowania Cg, jak i metody wielu składników nowoczesnych aplikacji bazujących na grafice trójwymiarowej.
Prezentowane w książce zagadnienia to m.in.:
* Historia języka Cg
* Środowisko programistyczne Cg
* Składnia Cg i słowa kluczowe
* Przekształcenia w przestrzeni trójwymiarowej
* Oświetlenie bazujące na wierzchołkach i pikselach
* Interpolacja ujęć kluczowych i system kości
* Mapowanie środowiska
* Mapowanie nierówności
* Mgła, światła reflektorowe, cienie
* Zwiększanie wydajności
"Książka ważna i na czasie: tworzenie tekstur proceduralnych na poziomie pikseli -- animowanych chmur, ognia, wody i wielu innych sztuczek -- nareszcie z ekranów kin przechodzi pod strzechy. Cała moc jest dostępna dzięki językowi przypominającemu język C, co otwiera nowy rozdział w grafice komputerowej.
Ken Perlin, Uniwersytet w Nowym Jorku
Dowiedz się w jaki sposób skutecznie i z sukcesem prowadzić biznes i być wspaniałym przedsiębiorcą. Przekonaj się, dlaczego według niektórych, ten darmowy ebook ...
Podręcznik pokazuje i objaśnia, jak zarządzać treściami multimedialnymi i jak odpowiednio dostosowywać tradycyjne techniki zarządzania wiedzą w kontekście multimedialnym.
Strach ma wielkie oczy, a lęk ma wiele twarzy_ prezentacja B.Ś.Beata Śliwińska
About fear in the library - the fear of a foreign place and many books, but also about the fear of people against people. Also, about the openness and attempts to overcome the barriers and roadblocks in relationships.
Fragment prezentacji firmy YetiForce dotyczącej OWASP ASVS 3.1 EA a w szczególności punktu pierwszego "1: Architektura, projektowanie i modelowanie zagrożeń".
Półwysep Bałkański jest od XIX wieku miejscem licznych konfliktów, a zróżnicowania etniczne i kulturowe ludności, zamieszkującej tę część Europy powodują, że sytuacja geopolityczna nie została ustabilizowana do dziś.
Czytanie kodu. Punkt widzenia twórców oprogramowania open sourceWydawnictwo Helion
Książka "Czytanie kodu. Punkt widzenia twórców oprogramowania" open source to pierwszy na rynku podręcznik poświęcony czytaniu kodu źródłowego jako osobnej dziedzinie wiedzy, której znajomość jest przydatna każdemu programiście. Ponad 600 przykładów, w których wykorzystywane są kody oprogramowania open source , przedstawia sposoby identyfikowania dobrego i złego kodu, czytania go, przeszukiwania pod kątem konkretnych funkcji oraz wykorzystywania umiejętności czytania kodu do poprawy jakości kodów źródłowych pisanych samodzielnie.
* Podstawowe konstrukcje sterujące działaniem programu
* Proste i złożone typy danych
* Struktury i unie
* Dynamiczne zarządzanie pamięcią
* Metody analizy projektów informatycznych
* Konwencje pisania i formatowania kodu źródłowego
* Tworzenie i czytanie dokumentacji
* Architektura systemów
Poznaj umiejętność czytania kodu źródłowego i popraw samodzielnie pisany kod.
Cg to kompletne środowisko programistyczne do szybkiego tworzenia efektów specjalnych i grafiki o kinowej jakości w czasie rzeczywistym dla wielu platform. Ponieważ język jest niezależny od sprzętu, programiści mogą pisać kod dla interfejsów OpenGL, DirectX oraz systemów Windows, Linux, Mac OS X, a także platform konsolowych, (Xbox) bez potrzeby korzystania z języka asemblerowego. Język Cg powstał w firmie NVIDIA Corporation przy bliskiej współpracy z firmą Microsoft® Corporation i jest kompatybilny z OpenGL API oraz językiem HLSL dla biblioteki DirectX 9.
Książka jest podręcznikiem przeznaczonym dla średnio zaawansowanych programistów. Opisuje ona zarówno sam język programowania Cg, jak i metody wielu składników nowoczesnych aplikacji bazujących na grafice trójwymiarowej.
Prezentowane w książce zagadnienia to m.in.:
* Historia języka Cg
* Środowisko programistyczne Cg
* Składnia Cg i słowa kluczowe
* Przekształcenia w przestrzeni trójwymiarowej
* Oświetlenie bazujące na wierzchołkach i pikselach
* Interpolacja ujęć kluczowych i system kości
* Mapowanie środowiska
* Mapowanie nierówności
* Mgła, światła reflektorowe, cienie
* Zwiększanie wydajności
"Książka ważna i na czasie: tworzenie tekstur proceduralnych na poziomie pikseli -- animowanych chmur, ognia, wody i wielu innych sztuczek -- nareszcie z ekranów kin przechodzi pod strzechy. Cała moc jest dostępna dzięki językowi przypominającemu język C, co otwiera nowy rozdział w grafice komputerowej.
Ken Perlin, Uniwersytet w Nowym Jorku
Dowiedz się w jaki sposób skutecznie i z sukcesem prowadzić biznes i być wspaniałym przedsiębiorcą. Przekonaj się, dlaczego według niektórych, ten darmowy ebook ...
Podręcznik pokazuje i objaśnia, jak zarządzać treściami multimedialnymi i jak odpowiednio dostosowywać tradycyjne techniki zarządzania wiedzą w kontekście multimedialnym.
Strach ma wielkie oczy, a lęk ma wiele twarzy_ prezentacja B.Ś.Beata Śliwińska
About fear in the library - the fear of a foreign place and many books, but also about the fear of people against people. Also, about the openness and attempts to overcome the barriers and roadblocks in relationships.
Fragment prezentacji firmy YetiForce dotyczącej OWASP ASVS 3.1 EA a w szczególności punktu pierwszego "1: Architektura, projektowanie i modelowanie zagrożeń".
Światowe badanie bezpieczeństwa informacji 2014EYPoland
Światowe badanie bezpieczeństwa informacji przeprowadzono między czerwcem a sierpniem 2014 roku. 1825 respondentów z 60 krajów, pracujących w 25 sektorach, to przede wszystkim członkowie zarządów, CIO oraz dyrektorzy działów IT. Jest to 17. edycja badania.
Coraz więcej firm decyduje się na wdrożenie oprogramowania, które podniesie efektywność pracowników. Dobrze zrealizowana inwestycja daje bowiem korzyści nie tylko finansowe. Zakup nawet najlepszego oprogramowania nie gwarantuje jednak efektów, jeśli wdrożenie nie zostanie odpowiednio przeprowadzone.
Więcej na ideo.pl
Wdrożenie nowego systemu informatycznego w firmie może się wiązać z popełnianiem wielu błędów, już na etapie jego uruchamiania, czego skutkiem będzie jego niewłaściwe działanie. Z drugiej strony - niezależnie jak dobry będzie wdrożony system – podjęte w tym kierunku działania mogą spotkać się z niechętnym przyjęciem pracowników.
W ostatecznym rozrachunku to oni będą z niego korzystać....
Inżynieria społeczna jako element testów bezpieczeństwa - tylko teoria, czy j...The Software House
Monika Sadlok - Inżynieria społeczna jako element testów bezpieczeństwa - tylko teoria, czy już niezbędna praktyka?
www.tsh.io
Dlaczego miły, uprzejmy i towarzyski pracownik stanowi jedno z największych zagrożeń bezpieczeństwa każdej firmy czy organizacji? Ponieważ to jego pozytywne cechy charakteru wykorzystywane są przez osoby próbujące uzyskać dostęp do chronionych informacji w sposób nieuprawniony. Czy zatem testy bezpieczeństwa powinny uwzględniać metodologię inżynierii społecznej? Z pewnością tak. O tym będzie moja prezentacja.
Developer in a digital crosshair, 2023 edition - 4DevelopersSecuRing
Recent years show a significant increase in attacks against libraries, tools, and infrastructure used in application development, as well as directly against developers and software companies. From fake libraries and malicious changes to popular libraries or programming languages to vulnerabilities in CI/CD infrastructure components.
During the presentation, you will discover a handful of interesting, fresh examples and attack techniques and, perhaps most importantly, learn how to work safely as a programmer. You will find out about typosquatting, dependency confusion, protestware and discover stories of attacks on PHP, Codecov, Homebrew, npm, Ruby Gems, or GitHub.
Developer in a digital crosshair, 2022 edition - Oh My H@ck!SecuRing
Attacks on third-party libraries and tools that are often used while developing software have become dramatically frequent.
Among these attacks, one can find dependency confusion, issues in popular dev tools (Codecov, Homebrew, npm...), typosquatting, incidents (PHP, GitHub...), or malicious changes in popular dependencies (UAParser.js, coa, node-ipc...). I will share a lot of gripping real-life examples of such attacks, their causes and effects, and help you stay secure while developing software.
Developer in a digital crosshair, 2022 edition - No cON NameSecuRing
The frequency of attacks on third-party libraries and tools used in software development has dramatically increased in recent years.
Typosquatting, dependency confusion, malicious changes in popular dependencies (UAParser.js, coa, node-ipc...), issues in popular dev tools (Codecov, Homebrew, npm...) or incidents (PHP, GitHub...). In this presentation, I will go over many fascinating, recent examples of these attacks, their causes and effects, and recommend to you how to stay secure when developing software.
Is persistency on serverless even possible?!SecuRing
In addition to being a common option in cloud environments, serverless computing is also a suggested method for creating plenty of things! Did you ever consider its mechanics? Is serverless truly server-less? How does the execution environment function? In this event-driven compute service, is persistency even conceivable?
I will not lie – Remote Code Executions and Command Injections are uncommon, but what if one occurs in your function? Additionally, it may be brought in by an attacker through dependency injection. I will demonstrate how to use it to obtain persistency and exfiltrate more data than the function role gives.
Let us figure out:
- How serverless infrastructure functions.
- Why persistency is possible in this semi-volatile environment.
- How to use pseudo shell over HTTP for serverless environment research.
- An exploitation demo – how can we make use of an RCE vulnerability to obtain a persistency.
- Possible mitigations.
Let us hijack the data real-time from the AWS Lambdas and GCP Cloud Functions!
Presented at: Confidence 2022, AlligatorCon 2022, Secops Polska Meetup #32, DevSecCon Poland 2022, AWS Community Day Warsaw 2022.
What happens on your Mac, stays on Apple’s iCloud?!SecuRing
“$ sudo ls ~/Desktop: Operation not permitted”. Apple’s Transparency, Consent, and Control (TCC) framework limits access to private information like documents, a camera, a microphone, emails, and more in order to preserve your privacy. Since authorisation is required to grant such access, the mechanism key design priority was clear user consent.
At Black Hat USA 2021, I co-presented considerable research on abusing the TCC mechanisms, however, this time, we won’t be directly exploiting the TCC. Given that iCloud has tons of macOS users’ secrets, why keep attacking the TCC? The default configuration makes Mac synchronize a lot of data. Don’t you have your iMessages/Photos/Calendars/Reminders/Notes accessible from iCloud? That’s good because you take care of your privacy… but most users don’t. :)
The brand-new research on abusing Apple’s iCloud to gain access to users’ sensitive data will be shared during the presentation. All that from a malicious applications’ perspective without any additional permissions.
0-Day Up Your Sleeve - Attacking macOS EnvironmentsSecuRing
Do you have Macs in your company's infrastructure? Nowadays, I bet that in most cases the answer would be YES. Macs stopped being computers only used in startups. We can observe them even in huge legacy environments in banks and other corporations. The problem is that they are usually not symmetrically secured, compared to the rest of Windows stations. Macs are not immune, they can be insecurely configured and now...even Apple admits that malware is present on Macs.
In this presentation I will:
1. Introduce you to macOS security mechanisms
2. Perform step-by-step macOS infection based on my 0-day (live demo)
3. Show you post-exploitation techniques
4. Attack installed apps and collect data from them
5. Give recommendations on how to harden your Mac and macOS infrastructure
Developer in a digital crosshair, 2022 editionSecuRing
This presentation takes you through recent attacks aimed at software developers and software companies. First it starts with attacks on libraries you install or have installed (typosquatting, pushing malicious library updates due to maintainer's credential takeover, protestware), even your private ones (dependency confusion). Second it shows attack on tools which are used in software development (package managers). Third, there are examples of attacks onto developer's infrastructure (PHP programming language git sever, GitHub OAuth incident with Heroku and Travis-CI).
20+ Ways To Bypass Your Macos Privacy MechanismsSecuRing
In this presentation, we showed multiple techniques that allowed us to bypass this prompt, and as a malicious application, get access to protected resources without any additional privileges or user’s consent.
In the search for a webinar platform, we have tested the security of 14 of them. As a result, in half of tested platforms we have identified high-severity vulnerabilities for example access control issues allowing unprivileged attendees to become a host/presenter or sensitive data leakage.
20+ Ways to Bypass Your macOS Privacy MechanismsSecuRing
"TotallyNotAVirus.app" would like to access the camera and spy on you. To protect your privacy, Apple introduced Transparency, Consent, and Control (TCC) framework that restricts access to sensitive personal resources: documents, camera, microphone, emails, and more. Granting such access requires authorization, and the mechanism's main design concern was clear user consent.
In this talk, we will share multiple techniques that allowed us to bypass this prompt, and as a malicious application, get access to protected resources without any additional privileges or user's consent. Together, we submitted over 40 vulnerabilities just to Apple through the past year, which allowed us to bypass some parts or the entire TCC. We also found numerous vulnerabilities in third-party apps (including Firefox, Signal, and others), which allowed us to avoid the OS restrictions by leveraging the targeted apps' privileges.
In the first part of the talk, we will give you an overview of the TCC framework, its building blocks, and how it limits application access to private data. We will explore the various databases it uses and discuss the difference between user consent and user intent.
Next, we will go through various techniques and specific vulnerabilities that we used to bypass TCC. We will cover how we can use techniques like process injection, mounting, application behavior, or simple file searches to find vulnerabilities and gain access to the protected resources.
The audience will leave with a solid understanding of the macOS privacy restrictions framework (TCC) and its weaknesses. We believe there is a need to raise awareness on why OS protections are not 100% effective, and in the end, users have to be careful with installing software on their machines. Moreover - as we're going to publish several exploits - red teams will also benefit from the talk.
Author: Paweł Rzepa
In this talk I'm going to show you various attack vectors against the serverless applications built from AWS Lambda functions. You'll see:
- my findings on publishing malicious NPM packages to smuggle malicious code into legitimately looking dependences,
- examples of validation errors in serverless applications, including Denial of Wallet attacks and RCE in a fugacious, serverless environment
- serverless attacks and security nuances in Azure and GCP
- recipes to prevent those attacks
XPC is a well-known interprocess communication mechanism used on Apple devices. Abusing XPC led to many severe bugs, including those used in jailbreaks. While the XPC bugs in Apple's components are harder and harder to exploit, did we look at non-Apple apps on macOS? As it turns out, vulnerable apps are everywhere - Anti Viruses, Messengers, Privacy tools, Firewalls, and more.
This presentation:
1.Explain how XPC/NSXPC work
2.Present you some of my findings in popular macOS apps (e.g. local privilege escalation to r00t)
3.Abuse an interesting feature on Catalina allowing to inject an unsigned dylib
4.Show you how to fix that vulnz finally!
WebApps vs Blockchain dApps (SmartContracts): tools, vulns and standardsSecuRing
The presentation focuses on the whole process of security testing and present it by analogies to the web applications which are quite well-known. It covers the whole SDLC and show the similarities and differences in the arsenal of vulnerabilities, security tools and standards between the smart contracts and web applications on each step. Even though there exist a lot of great security projects for smart contracts, we do not have single, widely accepted security standard (such as ASVS in web apps world). That is why we introduce SCSVS (Smart Contract Security Verification Standard), a open-source 13-part checklist created to standardize the security of smart contracts for developers, architects, security reviewers and vendors.
WebApps vs Blockchain dApps (SmartContracts): tools, vulns and standardsSecuRing
The presentation focuses on the whole process of security testing and present it by analogies to the web applications which are quite well-known. It covers the whole SDLC and show the similarities and differences in the arsenal of vulnerabilities, security tools and standards between the smart contracts and web applications on each step. Even though there exist a lot of great security projects for smart contracts, we do not have single, widely accepted security standard (such as ASVS in web apps world). That is why we introduce SCSVS (Smart Contract Security Verification Standard), a open-source 13-part checklist created to standardize the security of smart contracts for developers, architects, security reviewers and vendors.
Author: Jakub Kaluzny
Let's talk about large-scale security programmes and maintaining security with tens of project teams - agile or waterfall, in-house or outsourced. I will discuss how to effectively track security requirements, organise threat modelling sessions, log output from those and translate it into penetration testing scope and test cases. We will dive deep into evil brainstorming, come up with abuser stories for each user story and define what makes the SDLC process secure or not. This talk is based on my work with different organisations in multiple countries and observations what works well in regards to security at scale and what does not.
While it is quite common practice to do periodic security assessments of your local network, it is really rare to find a company who puts the same effort for testing the security in their cloud. We have to understand what new threats and risks appeared with the cloud and how should we change our attitude to testing cloud security. The goal of my presentation is to show how security assessment of cloud infrastructure it is different from testing environments in classic architecture. I'll demonstrate a hypothetical attack on a company which is fully deployed in the AWS environment. I’m going to show the whole kill chain starting from presenting cloud-applicable reconnaissance techniques. Then I’ll attack the web application server hosted on EC2 instance to access its metadata. Using the assigned role, I’ll access another AWS EC2 instance to escalate privileges to the administrator and then present how to hide fingerprints in CloudTrail service. Finally, I’ll demonstrate various techniques of silent exfiltrating data from AWS environment, setting up persistent access and describe another potential, cloud-specific threats, e.g. cryptojacking or ransomware in the cloud. The presentation shows practical aspects of attacking cloud services and each step of the kill chain will be presented in a form of an interactive, live demo. On the examples of presented attacks, I’ll show how to use AWS exploitation framework Pacu and other handy scripts.
Web Apps vs Blockchain dApps (Smart Contracts): tools, vulns and standardsSecuRing
Last year at AppSec EU I had a presentation about the Ethereum smart contracts and did a technical showcase of some of their potential vulnerabilities and security flaws. I also presented my proposition on how to handle the responsible disclosure process in the smart contracts world.
This year I want to focus on the whole process of security testing and present it by analogies to the web applications which are quite well-known. Smart contracts are described as Web3 decentralized apps and I believe that my talk will not only bring new light on this subject but will also help to understand and organize the way of testing. I am going to cover the whole SDLC and show the similarities and differences between the smart contracts and web applications on each step.
The presented overview is especially important nowadays when the biggest companies are building their own blockchain platforms and cryptocurrencies – i.e. Libra introduced by Facebook (which by the way also supports smart contracts).
I am also going to show the differences in the arsenal of vulnerabilities, security tools and standards by the analogy to web apps arsenal. I think that, even though there exist a lot of great security projects for smart contracts, we do not have a single, widely accepted security standard (such as ASVS in web apps world). I would like to discuss potential work that needs to be done in that area and show my preliminary work on that matter.
After this presentation audience will know what are the similarities and differences between smart contracts and web apps in the SDLC, an arsenal of tools and standards, but also will have a fresh overview of possible options and current trends.
Budowanie i hakowanie nowoczesnych aplikacji iOSSecuRing
Po ostatniej prezentacji dotyczącej pentestów bez jailbreaka, autor zdecydował stworzyć prezentację defensywną. Znajdują się w niej informacje o najczęściej występujących problemach w nowoczesnych aplikacjach iOS oraz wskazówki jak sobie z nimi radzić. W prezentacji przedstawiona jest równie nowa otwartoźródłowa biblioteka iOS Security Suite dostępna pod adresem https://github.com/securing/IOSSecuritySuite
We need t go deeper - Testing inception apps.SecuRing
When it comes to thick-clients, java applets, embedded devices or mobile apps - often, the idea is to forget about HTTP/S stack, plaintext POST parameters, and instead, implement a custom communication protocol. - Sending files for printing? Caesar cipher does not support full UTF-8, so use AES in ECB mode. - Malware attacking online banking? Even over HTTPS, double-encrypt POST parameters. If your clients are rich, use asymetric encryption, for better protection. - Planning SOAP WS? Use WCF Binary XML and put it in a START-TLS tunnel wrapped over a TCP connection. Welcome to the world of application/x-inception-data content types, <meta charset=obscure> encoding and custom cryptography. Ideas that usually implement methods of 'security by obscurity'. Once the outer layer of obfuscation is off, very often the server backend reveals simple access control issues, SQL query shells or code execution vulnerabilities. I will discuss real-world examples from enterprise solutions tests which require a bit more effort to allow tampering with data send from the client: - intercepting the traffic, bypassing NAC - decapsulating encryption and encoding layers - hooking into function calls, modifying packages - reverse-engineer proprietary protocols and encryption.
After my offensive presentation "Testing iOS Apps without Jailbreak in 2018" it is time to focus also on building not just breaking. This talk will cover the most important milestones in reaching secure iOS/macOS apps. I'm going to show you how to develop modern & secure iOS/macOS apps using new security features presented at the latest Apple's Worldwide Developers Conference. Hackers will be satisfied as well, since I'm going to cover also pen tester's perspective. What's more - I will share with you details of multiple vulnerabilities (*including not disclosed previously*) that I found during security assessments and my research of Apple's applications.
Raport z badania - Praktyki wytwarzania bezpiecznego oprogramowania
1. SecuRing
Badanie praktyki wytwarzania bezpiecznego
oprogramowania
Raport
Na wstępie pragniemy serdecznie podziękować ponad 50 specjalistom z firm
zajmujących się wytwarzaniem oprogramowania, którzy zechcieli poświęcić
swój czas i wziąć udział w naszym badaniu.
2. SecuRingBadanie“praktykiwytwarzaniabezpiecznegooprogramowania”
2
Celem badania było sprawdzenie, jakie praktyki w zakresie wytwarzania
bezpiecznegooprogramowaniasąstosowanew polskichfirmach.Badaniepolegało
na przeprowadzeniu ankiety wśród specjalistów uczestniczących w konferencji
4Developers 2014.
Kluczowe wnioski wynikające z opracowania wyników ankiet.
Najczęściej stosowane praktyki:•
śledzenienabieżącoi reagowanienabłędywykrywanew stosowanych»»
komponentach, frameworkach i bibliotekach,
testy bezpieczeństwa i implementacja poprawek wynikających z tych»»
testów,
przeglądy kluczowych części kodu w zakresie bezpieczeństwa.»»
Praktyki te stosowane są w ponad połowie badanych firm.
Szkolenia z zakresu bezpiecznego programowania (nawet na poziomie•
podstawowym) w dalszym ciągu nie są powszechnie stosowane, mimo iż
jest to skuteczny i łatwy do wprowadzenia środek prewencyjny.
W znacznej części projektów bezpieczeństwo jest na pewnym poziomie•
uwzględniane, ale wymagania w tym zakresie nie są spisywane, tak więc
również nie mogą być w sposób uporządkowany weryfikowane podczas
wytwarzania i wdrażania.
W większości projektów• (73%) są wprowadzane poprawki wynikające
z testów bezpieczeństwa i nie znalazł się ani jeden przypadek, w którym
po wykonaniu testów bezpieczeństwa nie trzeba byłoby takich poprawek
wprowadzać.
Testy bezpieczeństwa często są wykonywane• jedynie przez odbiorcę
oprogramowania.
Mniejniżpołowaz osób,któremiałydoczynieniaz testamibezpieczeństwa,•
uznało, że dostarczony przez wykonawcę testów bezpieczeństwa raport
był zrozumiały. Tak więc istnieje widoczna konieczność poprawy jakości
usług testowania bezpieczeństwa.
Streszczenie
3. SecuRingBadanie“praktykiwytwarzaniabezpiecznegooprogramowania”
3
Badanie przeprowadziliśmy podczas konferencji 4Developers 6 kwietnia
2014.Danezbieranebyłyzapomocąformularzyankietowychwypełnianych
przez uczestników konferencji.
Metodyka
Pytania zostały skonstruowane na podstawie standardu OWASP OpenSAMM
“Security Assurance Maturity Model”1
w zakresie pierwszej fazy wdrożenia
zasad dobrej praktyki dla firm produkujących oprogramowanie.
Uczestnicy badania
W badaniu wzięło udział 52 pracowników z 42 firm. Większość
ankietowanych to programiści (56%) lub starsi programiści (17%). 17% osób
pracowało na stanowiskach managerskich.
Większość z odpowiadających na pytania stwierdziło, że z tematami
dotyczącymi bezpieczeństwa aplikacji ma do czynienia na co dzień (31%) lub
czasami (48%). Natomiast zdaniem 73% biorących udział w badaniu projekty,
w których uczestniczą, mogą być obiektem ataków.
56%
17%
17%
6%
4%
programista
starszy programista
stanowisko
managerskie
tester
analityk/architekt
1
http://www.opensamm.org/
4. SecuRingBadanie“praktykiwytwarzaniabezpiecznegooprogramowania”
4
Badane praktyki
W ankiecie pytaliśmy o następujące praktyki, mające na celu wytwarzanie bezpiecznego
oprogramowania:
Zarządzanie
Prewencja
Analiza
i Projektowanie
Wytwarzanie
i wdrażanie
Wdrożenie uporządkowanego planu zapewnienia bezpieczeństwa•
wytwarzanego lub zamawianego oprogramowania.
Wyznaczenie osoby odpowiedzialnej za bezpieczeństwo aplikacji.•
Szkolenia z zakresu bezpieczeństwa oprogramowania.•
Śledzenie i reagowanie na błędy wykrywane w stosowanych•
komponentach, frameworkach i bibliotekach.
Analiza najbardziej prawdopodobnych zagrożeń i dobranie•
odpowiednich dla nich zabezpieczeń (modelowanie zagrożeń).
Opisywanie w specyfikacji wymagań dotyczących•
bezpieczeństwa – w tym wymagań niefunkcjonalnych.
Formułowanie wymagań dotyczących bezpieczeństwa na•
podstawie analizy ryzyka lub zasad dobrej praktyki i zgodności
z obowiązującymi przepisami.
Przeglądy kluczowych części kodu w zakresie bezpieczeństwa.•
Testy bezpieczeństwa przed wdrożeniem, zgodnie z przyjętymi•
wymaganiami.
Implementacja poprawek wynikających z testów•
bezpieczeństwa.
Stosowanie narzędzi automatycznych, wyszukujących defekty•
bezpieczeństwa.
Obszar Praktyki
5. SecuRingBadanie“praktykiwytwarzaniabezpiecznegooprogramowania”
5
WynikiBadania
Najczęściej stosowane praktyki
Najczęściej stosowane dobre praktyki według wypełniających naszą ankietę
to:
śledzenie na bieżąco i reagowanie na błędy wykrywane w stosowanych•
komponentach, frameworkach i bibliotekach (77% odpowiedzi). Wynik
ten jest zgodny z rezultatami innych badań, np. monitoringu repozytoriów
komponentów (szczegóły poniżej w rozdziale „Prewencja” ),
testy bezpieczeństwa i implementacja poprawek wynikających z tych•
testów (73%). Należy jednak zauważyć, że znaczna część tych testów
to prawdopodobnie testy wykonywane przez odbiorcę oprogramowania
(szczegóły w rozdziale „Wytwarzanie i wdrażanie” ),
przeglądy kluczowych części kodu w zakresie bezpieczeństwa (65%).•
38% 38% 38%
77%
44%
48%
31%
73%
65%
42%
46%
Zarządzanie
Prew
encja
Analiza
i
projektow
anie
W
ytw
arzanie
iw
drazanie
6. SecuRingBadanie“praktykiwytwarzaniabezpiecznegooprogramowania”
6
Zarządzanie
W ankiecie pytaliśmy czy w firmach, w ramach kluczowych projektów, jest stosowany wystandaryzowany
program zapewnienia bezpieczeństwa wytwarzanego oprogramowania oraz czy jest wyznaczona
osoba odpowiedzialna za bezpieczeństwo aplikacji. W obydwu przypadkach ilość odpowiedzi
twierdzących była taka sama – około 38%. Zastanawiająca jest jednak korelacja między tymi
odpowiedziami. Tylko co czwarty ankietowany, który twierdził, że w firmie istnieje spójny program
zapewnienia bezpieczeństwa, odpowiedział twierdząco na pytanie dotyczące osoby odpowiedzialnej
za bezpieczeństwo aplikacji. Wyznaczenie takiej osoby jest kluczowym elementem każdego programu
zapewnienia jakości.
Prewencja
Pytaliśmy o dwie praktyki prewencyjne – o szkolenia oraz monitorowanie błędów ujawnianych
w stosowanych komponentach. Większość (77%) odpowiadających stwierdziła, że śledzą błędy
wykrywane we frameworkach i bibliotekach oraz reagują na te informacje. Uzyskane dane w pewnym
stopniu pokrywają się z niezależnymi badaniami Sonatype i Aspect Security2
, z których wynikło,
że w 26% przypadków stosowane są „dziurawe” wersje bibliotek i frameworków.
Na pytanie czy architekci, programiści i testerzy przeszli podstawowe przeszkolenie z zakresu
bezpiecznego programowania 38% badanych odpowiedziało twierdząco. To niewiele, jeśli weźmiemy
pod uwagę, że jest to podstawowy, bardzo skuteczny i łatwy do wprowadzenia środek zmierzający
do podniesienia jakości oprogramowania w zakresie bezpieczeństwa.
38%
38%
38%
77%
Wdrożenie uporządkowanego planu zapewnienia bezpieczeństwa
wytwarzanego lub zamawianego oprogramowania.
Wyznaczenie osoby odpowiedzialnej za bezpieczeństwo aplikacji.
Szkolenia z zakresu bezpieczeństwa oprogramowania.
Śledzenie i reagowanie na błędy wykrywane w stosowanych
komponentach, frameworkach i bibliotekach.
2
The Unfortunate Reality of Insecure Libraries: https://www.aspectsecurity.com/uploads/
downloads/2012/03/Aspect-Security-The-Unfortunate-Reality-of-Insecure-Libraries.pdf
7. SecuRingBadanie“praktykiwytwarzaniabezpiecznegooprogramowania”
7
Wytwarzanie i wdrażanie
Tylko 42% badanych potwierdziło, że przed wdrożeniem wykonują lub zamawiają testy bezpieczeństwa,
natomiast aż 73% pytanych potwierdziło, że implementowali poprawki wynikające z testów
bezpieczeństwa. Prawdopodobnie ta różnica wynika z tego, że często testy bezpieczeństwa wykonuje
jedynie odbiorca oprogramowania.
Warto przy tym zauważyć, że tylko 43% z osób, które miały do czynienia z testami bezpieczeństwa
uznało, że „dostarczony przez wykonawcę testów bezpieczeństwa raport był zrozumiały i nie
wzbudzał kontrowersji”.
Wśród ankietowanych nie znalazł się ani jeden przypadek, w którym testy bezpieczeństwa były
wykonywane, ale nie skutkowało to wprowadzeniem koniecznych poprawek.
Około połowa ankietowanych firm (46%) stosuje narzędzia automatycznie wyszukujące defekty
bezpieczeństwa. Natomiast aż 65% pytanych stwierdziło, że w ich firmach są stosowane przeglądy
kluczowych części kodu w zakresie bezpieczeństwa.
Analiza i projektowanie
44% odpowiadających na pytania potwierdziło, że w ich firmach stosuje się modelowanie zagrożeń,
tzn. są analizowane najbardziej prawdopodobne zagrożenia dotyczące ataków na aplikacje. Podobna
liczba osób (48%) stwierdziła również, że wymagania dotyczące bezpieczeństwa są formułowane
na podstawie analizy ryzyka lub zasad dobrej praktyki i zgodności z obowiązującymi przepisami.
Natomiast tylko 31% ankietowanych potwierdziło, że wymagania dotyczące bezpieczeństwa są opisane
w specyfikacji. Można z tego wyciągnąć wniosek, że w znacznej części projektów bezpieczeństwo
jest uwzględniane, ale wymagania w tym zakresie nie są spisywane, co powoduje, że nie mogą być
w sposób uporządkowany weryfikowane podczas wytwarzania i wdrażania.
44%
31%
48%
73%
65%
42%
46%
Analiza najbardziej prawdopodobnych zagrożeń i dobranie odpowiednich
dla nich zabezpieczeń (modelowanie zagrożeń).
Przeglądy kluczowych części kodu w zakresie bezpieczeństwa.
Opisywanie w specyfikacji wymagań dotyczących bezpieczeństwa – w tym
wymagań niefunkcjonalnych.
Formułowanie wymagań dotyczących bezpieczeństwa na podstawie
analizy ryzyka lub zasad dobrej praktyki i zgodności z obowiązującymi
przepisami.
Testy bezpieczeństwa przed wdrożeniem, zgodnie z przyjętymi
wymaganiami.
Implementacja poprawek wynikających z testów
bezpieczeństwa.
Stosowanie narzędzi automatycznych, wyszukujących defekty
bezpieczeństwa.
8. SecuRingBadanie“praktykiwytwarzaniabezpiecznegooprogramowania”
8
SecuRing to zespół ekspertów zajmujących się bezpieczeństwem aplikacji
i systemów informatycznych. Naszą misją jest zapewnienie wsparcia dla
naszych partnerów na każdym etapie procesu, jakim jest zarządzanie
bezpieczeństwem aplikacji.OSecuRing
Oferujemy między innymi:
testy bezpieczeństwa aplikacji webowych, mobilnych, WebService,•
grubego klienta, embeded systems, SaaS i innych,
analizę ryzyka, modelowanie zagrożeń – przed przystąpieniem•
do implementacji,
wsparcie w definiowaniu założeń dotyczących bezpieczeństwa,•
ocenę projektu systemu pod względem bezpieczeństwa,•
pomoc we wpisaniu bezpieczeństwa w cały cykl rozwoju i utrzymania•
systemów.
Nasza firma działa od 2003 roku i w tym okresie z naszych usług
skorzystały czołowe banki, instytucje ubezpieczeniowe, operatorzy
telekomunikacyjni, firmy tworzące oprogramowanie, a także instytucje
administracji centralnej zarówno w Polsce jak i za granicą. Staramy się
dostarczać usług o wysokiej jakości, opartych na wiedzy naszych pracowników
i doświadczeniu firmy.
Przejrzyj nasze prezentacje i raporty: http://www.slideshare.net/wojdwo.
Nasza strona www: http://www.securing.pl
Koszt usuwania defektów bezpieczeństwa wykrytych przez odbiorcę
aplikacji jest wielokrotnie wyższy, niż koszt wykrycia i usunięcia
potencjalnego defektu po stronie firmy wykonującej aplikację. Nasz
zespół zdobywał swoje doświadczenie pracując przez wiele lat przy
testach bezpieczeństwa dla klientów końcowych. Jeśli chcesz mieć
pewność, że aplikacje i systemy dostarczane przez Twoją firmę są właściwie
zabezpieczone i pragniesz, by klienci Twojej firmy postrzegali ją jako partnera,
do którego produktów można mieć zaufanie – skorzystaj z naszych
usług.
Jeśli chcesz uzyskać więcej informacji, skontaktuj się z nami pod telefonem
+48 12 4252575 lub email-em info@securing.pl.
www.securing.pl
info@securing.pl
+48 12 4252575