PDF de programación - Web Application: Security Tips

Primeras Jornadas de Seguridad Web
OWASP DAY ARGENTINA 2010

“La seguridad como ventaja competitiva”

Web Application: Security Tips

Hernán M. Racciatti
[email protected]

SICLABS

OWASP

Acerca del Autor

 Analista Programador, CISSP, CSSLP, CEH, MCP, QCS
 Miembro del Core Team de ISECOM
 ISSAF Key Contributor at OISSG
 Colaborador de los proyectos ISSAF, HHS y OSSTMM, entre otros.
 Director de Comunicaciones de ISSA Argentina
 Security Director at SIClabs

Primeras Jornadas de Seguridad Web – Owasp DAY 2010

2

* ISECOM (Institute for Security and Open Methodologies)
* OISSG (Open Information System Security Group)
* ISSA (Internet Systems Security Association)
* ISSAF (Information Systems Security Assessment Framework)
* OSSTMM (Open Source Security Testing Methodology Manual)
* HHS (Hackers Highschool, Security Awareness for Teens)

OWASP

Agenda

 Introducción a la Problemática
 Causas del Software Inseguro
 En la Practica
 Nuevos Motivos
 Security Tips
 Comenzando Ahora!
 Recomendaciones
 Referencias y Lectura Complementaria
 Preguntas

Primeras Jornadas de Seguridad Web – Owasp DAY 2010

3

OWASP

Introducción a la Problemática

Primeras Jornadas de Seguridad Web – Owasp DAY 2010

4

OWASP

Introducción a la Problemática (Cont.)

 El equipo de desarrollo y los responsables de proyectos creen que la

seguridad no aporta ningún valor.

 Resolver vulnerabilidades antes del lanzamiento de un producto suele ser

visto como un proceso muy costoso.

 La seguridad de la información, no suele ser una competencia requerida a

la hora de realizar contrataciones.

 Las organizaciones suelen premiar tiempos de entrega, usabilidad y

eventualmente performance… NO seguridad.

 La seguridad no es concebida como un proceso
 Los usuarios finales, en general no suelen demandar software seguro.

Primeras Jornadas de Seguridad Web – Owasp DAY 2010

5

OWASP

Introducción a la Problemática (Cont.)

Primeras Jornadas de Seguridad Web – Owasp DAY 2010

6

OWASP

Introducción a la Problemática (Cont.)

Primeras Jornadas de Seguridad Web – Owasp DAY 2010

7

OWASP

Introducción a la Problemática (Cont.)

Primeras Jornadas de Seguridad Web – Owasp DAY 2010

8

OWASP

Introducción a la Problemática (Cont.)

 Seguridad Convencional

 Las aplicaciones son liberadas al circuito comercial, a fin de evitar que el

competidor lo haga primero.

 Hackers/Researchers encuentran vulnerabilidades o debilidades en el

software.

 Aparece un website con el detalle de la vulnerabilidad y como explotarla.

 Se libera el fix, Parche, SP o se publica el workaround.

 Este parche pasa a engrosar la pila de parches que el administrador debe

testear e instalar!!

 Y en su empresa? Los desarrollos internos?

Primeras Jornadas de Seguridad Web – Owasp DAY 2010

9

OWASP

Introducción a la Problemática (Cont.)

 Seguridad Convencional

 Cuando alguien detecta una vulnerabilidad en alguna plataforma (Windows /

Unix / Linux / Oracle / SQL Server), generalmente ésta tarde o temprano es
publicada.

 Del mismo modo cuando la vulnerabilidad es reparada, generalmente los

parches son puestos a disposición de todos los usuarios.

 Seguridad en Aplicaciones de Desarrollo Propio

 Nunca existirá un parche general que resuelva los problemas en NUESTRA

aplicación web.

 Nadie va a descubrir vulnerabilidades en NUESTRA aplicación…

Primeras Jornadas de Seguridad Web – Owasp DAY 2010

10

OWASP

Causas del Software Inseguro

 Requerimientos de seguridad pobres o nulos
 Ausencia de proceso de SDLC
 Diseño orientado a funcionalidad

 Diseño Funcional != Diseño de Seguridad

 Desarrolladores sin entrenamiento en seguridad

 Pobre conocimiento de las amenazas

 Escasez de especialistas
 Ausencia de políticas de codificación segura
 Pobres practicas de QA & Security Testing
 Tiempo y presupuesto acotados

Primeras Jornadas de Seguridad Web – Owasp DAY 2010

11

OWASP

En la Practica

* http://praetorianprefect.com/archives/2010/06/persistent-xss-on-twitter-com/
* http://www.acunetix.com/blog/news/sql-injection-records-exposed/
* http://ptresearch.blogspot.com/2010/06/web-application-vulnerability.html#more

Primeras Jornadas de Seguridad Web – Owasp DAY 2010

12

OWASP

Nuevos Motivos

 Habeas Data
 BCRA 4609
 ISO27000
 DSS-PCI
 HIPAA
 SOX

Se puede estar en “Compliance”

y aun ser inseguro!!

Primeras Jornadas de Seguridad Web – Owasp DAY 2010

13

OWASP

Tip #1: Entrenamiento

Primeras Jornadas de Seguridad Web – Owasp DAY 2010

14

OWASP

Tip #1: Entrenamiento (Cont.)

Primeras Jornadas de Seguridad Web – Owasp DAY 2010

15

OWASP

Tip #2: SDLC

Primeras Jornadas de Seguridad Web – Owasp DAY 2010

16

OWASP

Tip #2: SDLC (Cont.)

 SDL implica instaurar procesos de desarrollo de software, en los cuales la
seguridad de la información, sea tenida en cuenta en cada una de las etapas
del su ciclo de vida.

Primeras Jornadas de Seguridad Web – Owasp DAY 2010

17

OWASP

Tip #2: SDLC (Cont.)

* From the Book: Writing Secure Code, Second Edition - Microsoft Press (Michael Howard / David LeBlanc)

Primeras Jornadas de Seguridad Web – Owasp DAY 2010

18

OWASP

Tip #2: SDLC (Cont.)

 Seguridad a lo largo del proceso
 Análisis de Riesgo desde el Inicio
 Especificación de Requisitos de Seguridad
 Definición y Ejecución del Plan de Pruebas
 Separación de Ambientes
 Métodos Puesta en Producción
 Mantenimiento / Control de Cambios / Operaciones

Es imposible construir aplicaciones seguras, si

no se entienden las amenazas

Primeras Jornadas de Seguridad Web – Owasp DAY 2010

19

OWASP

Tip #3: Gestión de Riesgos

Primeras Jornadas de Seguridad Web – Owasp DAY 2010

20

OWASP

Tip #3: Gestión de Riesgos (Cont.)

Threat Modeling
 Método de análisis basado en la seguridad.
 Parte crucial del proceso de diseño.
 Proceso para la evaluación y documentación de riesgos de seguridad (++).
 Potente instrumento de comunicación!

Permite:
 Identificar, evaluar y comprender amenazas de seguridad.
 Colaborar en la identificación de estrategias de mitigación.
 Colaborar en el proceso general de reducción de riesgos. (↓Costo de Asegurar)
 Justificar la implementación de controles.
 Mejorar la integración de nuevos miembros al “Dev Team”.
 Conocer donde el producto es mas vulnerable, cuales amenazas requieren ser mitigadas

y como direccionar las mismas… proveer un proceso!!

Primeras Jornadas de Seguridad Web – Owasp DAY 2010

21

OWASP

Primeras Jornadas de Seguridad Web – Owasp DAY 2010

22

OWASP

Tip #3: Gestión de Riesgos (Cont.)

 Que activos de información se deben asegurar?
 Como puede infringirse el daño?
 Que debilidad o falla permite que la amenaza se concrete?
 Que acción puede un atacante llevar adelante para explotar una vulnerabilidad?

 Atacante gana acceso privilegiado a base de
datos con información sensible. (Amenaza)
 Cuenta de administrador “admin” con password
“admin” (Vulnerabilidad)

Primeras Jornadas de Seguridad Web – Owasp DAY 2010

23

OWASP

Tip #3: Gestión de Riesgos (Cont.)

Primeras Jornadas de Seguridad Web – Owasp DAY 2010

24

OWASP

Comenzando Ahora!

Asuma que todo INPUT es malicioso

Valide todo INPUT (Todo es TODO…)

Establezca Validaciones Efectivas (Tipo, Largo, Formato y Rango)

Codifique (Encode) el OUTPUT

Primeras Jornadas de Seguridad Web – Owasp DAY 2010

25

OWASP

Recomendaciones

Primeras Jornadas de Seguridad Web – Owasp DAY 2010

26

OWASP

Recomendaciones (Cont.)

 Entrenamiento

 Lea el documento Top 10 de OWASP.
 Obtenga entrenamiento especifico respecto de seguridad en aplicaciones

web.

 Aprenda como funcionan las vulnerabilidades en la vida real.

 Política

 Elabore y documente los requerimientos de seguridad que deben ser

cubiertos por su aplicación.

 Diseño y Revisión

 Diseñe con la seguridad en mente (Gestión de Riesgos/TM)
 Someta sus aplicaciones a procesos de revisión de código y test de

intrusión en forma periódica y asegúrese que los mismos son llevados a
cabo por expertos.

Primeras Jornadas de Seguridad Web – Owasp DAY 2010

27

OWASP

Recomendaciones (Cont.)

 Cliente

 Demande aplicaciones web que sencillamente no incluyan ninguno de los

problemas mencionados en el Top 10 de OWASP

 Desarrollador

 Tome la responsabilidad de asegurar su código

 Empresa de Desarrollo de Software

 Garantice que sus aplicaciones web NO poseen ninguno de los problemas

mencionados en el Top 10 de OWASP

 Profesor

 Deje de enseñar código inseguro

 Gerente de Proyectos

 Considere la seguridad en cada parte del proyecto. Haga de las revisiones

de seguridad un proceso continuo.

Primeras Jornadas de Seguridad Web – Owasp DAY 2010

28

OWASP

Referencias y Lecturas Complementarias

 OWASP “Guide to Building Secure Webs Apps”

http://www.owasp.org/documentation
 OWASP (OWASP Top Ten Project)

www.owasp.org/documentation/topten.html

 Web Application Security Consortium: Clasificación de Amenazas

http://www.webappsec.org/projects/threat/v1/WASC_TC-1.0.spa.pdf

Improving Web Application Security: Threats and Countermeasures

http://msdn.microsoft.com/library/default.asp?url=/library/en-s/dnnetsec/html/ThreatCounter.asp

 OWASP’s Ten Most Critical Web App. Security Vulnerabilities

http://www.owasp.org/index.php/Image:OWASP_Top_Ten.ppt (Jef Williams Presentation)

 Hernan M Racciatti – Papers & Presentations

http://www.hernanracciatti.com.ar

 Writing Secure Code, Second Edition - Microsoft Press

(MichaelHoward / David LeBlanc) ISBN 0-7356-1722-8

Primeras Jornadas de Seguridad Web – Owasp DAY 2010

29

OWASP

Preguntas

Primeras Jornadas de Seguridad Web – Owasp DAY 2010

30