Primeras Jornadas de Seguridad Web
OWASP DAY ARGENTINA 2010
“La seguridad como ventaja competitiva”
Web Application: Security Tips
Hernán M. Racciatti
[email protected]
SICLABS
OWASP
Acerca del Autor
Analista Programador, CISSP, CSSLP, CEH, MCP, QCS
Miembro del Core Team de ISECOM
ISSAF Key Contributor at OISSG
Colaborador de los proyectos ISSAF, HHS y OSSTMM, entre otros.
Director de Comunicaciones de ISSA Argentina
Security Director at SIClabs
Primeras Jornadas de Seguridad Web – Owasp DAY 2010
2
* ISECOM (Institute for Security and Open Methodologies)
* OISSG (Open Information System Security Group)
* ISSA (Internet Systems Security Association)
* ISSAF (Information Systems Security Assessment Framework)
* OSSTMM (Open Source Security Testing Methodology Manual)
* HHS (Hackers Highschool, Security Awareness for Teens)
OWASP
Agenda
Introducción a la Problemática
Causas del Software Inseguro
En la Practica
Nuevos Motivos
Security Tips
Comenzando Ahora!
Recomendaciones
Referencias y Lectura Complementaria
Preguntas
Primeras Jornadas de Seguridad Web – Owasp DAY 2010
3
OWASP
Introducción a la Problemática
Primeras Jornadas de Seguridad Web – Owasp DAY 2010
4
OWASP
Introducción a la Problemática (Cont.)
El equipo de desarrollo y los responsables de proyectos creen que la
seguridad no aporta ningún valor.
Resolver vulnerabilidades antes del lanzamiento de un producto suele ser
visto como un proceso muy costoso.
La seguridad de la información, no suele ser una competencia requerida a
la hora de realizar contrataciones.
Las organizaciones suelen premiar tiempos de entrega, usabilidad y
eventualmente performance… NO seguridad.
La seguridad no es concebida como un proceso
Los usuarios finales, en general no suelen demandar software seguro.
Primeras Jornadas de Seguridad Web – Owasp DAY 2010
5
OWASP
Introducción a la Problemática (Cont.)
Primeras Jornadas de Seguridad Web – Owasp DAY 2010
6
OWASP
Introducción a la Problemática (Cont.)
Primeras Jornadas de Seguridad Web – Owasp DAY 2010
7
OWASP
Introducción a la Problemática (Cont.)
Primeras Jornadas de Seguridad Web – Owasp DAY 2010
8
OWASP
Introducción a la Problemática (Cont.)
Seguridad Convencional
Las aplicaciones son liberadas al circuito comercial, a fin de evitar que el
competidor lo haga primero.
Hackers/Researchers encuentran vulnerabilidades o debilidades en el
software.
Aparece un website con el detalle de la vulnerabilidad y como explotarla.
Se libera el fix, Parche, SP o se publica el workaround.
Este parche pasa a engrosar la pila de parches que el administrador debe
testear e instalar!!
Y en su empresa? Los desarrollos internos?
Primeras Jornadas de Seguridad Web – Owasp DAY 2010
9
OWASP
Introducción a la Problemática (Cont.)
Seguridad Convencional
Cuando alguien detecta una vulnerabilidad en alguna plataforma (Windows /
Unix / Linux / Oracle / SQL Server), generalmente ésta tarde o temprano es
publicada.
Del mismo modo cuando la vulnerabilidad es reparada, generalmente los
parches son puestos a disposición de todos los usuarios.
Seguridad en Aplicaciones de Desarrollo Propio
Nunca existirá un parche general que resuelva los problemas en NUESTRA
aplicación web.
Nadie va a descubrir vulnerabilidades en NUESTRA aplicación…
Primeras Jornadas de Seguridad Web – Owasp DAY 2010
10
OWASP
Causas del Software Inseguro
Requerimientos de seguridad pobres o nulos
Ausencia de proceso de SDLC
Diseño orientado a funcionalidad
Diseño Funcional != Diseño de Seguridad
Desarrolladores sin entrenamiento en seguridad
Pobre conocimiento de las amenazas
Escasez de especialistas
Ausencia de políticas de codificación segura
Pobres practicas de QA & Security Testing
Tiempo y presupuesto acotados
Primeras Jornadas de Seguridad Web – Owasp DAY 2010
11
OWASP
En la Practica
* http://praetorianprefect.com/archives/2010/06/persistent-xss-on-twitter-com/
* http://www.acunetix.com/blog/news/sql-injection-records-exposed/
* http://ptresearch.blogspot.com/2010/06/web-application-vulnerability.html#more
Primeras Jornadas de Seguridad Web – Owasp DAY 2010
12
OWASP
Nuevos Motivos
Habeas Data
BCRA 4609
ISO27000
DSS-PCI
HIPAA
SOX
Se puede estar en “Compliance”
y aun ser inseguro!!
Primeras Jornadas de Seguridad Web – Owasp DAY 2010
13
OWASP
Tip #1: Entrenamiento
Primeras Jornadas de Seguridad Web – Owasp DAY 2010
14
OWASP
Tip #1: Entrenamiento (Cont.)
Primeras Jornadas de Seguridad Web – Owasp DAY 2010
15
OWASP
Tip #2: SDLC
Primeras Jornadas de Seguridad Web – Owasp DAY 2010
16
OWASP
Tip #2: SDLC (Cont.)
SDL implica instaurar procesos de desarrollo de software, en los cuales la
seguridad de la información, sea tenida en cuenta en cada una de las etapas
del su ciclo de vida.
Primeras Jornadas de Seguridad Web – Owasp DAY 2010
17
OWASP
Tip #2: SDLC (Cont.)
* From the Book: Writing Secure Code, Second Edition - Microsoft Press (Michael Howard / David LeBlanc)
Primeras Jornadas de Seguridad Web – Owasp DAY 2010
18
OWASP
Tip #2: SDLC (Cont.)
Seguridad a lo largo del proceso
Análisis de Riesgo desde el Inicio
Especificación de Requisitos de Seguridad
Definición y Ejecución del Plan de Pruebas
Separación de Ambientes
Métodos Puesta en Producción
Mantenimiento / Control de Cambios / Operaciones
Es imposible construir aplicaciones seguras, si
no se entienden las amenazas
Primeras Jornadas de Seguridad Web – Owasp DAY 2010
19
OWASP
Tip #3: Gestión de Riesgos
Primeras Jornadas de Seguridad Web – Owasp DAY 2010
20
OWASP
Tip #3: Gestión de Riesgos (Cont.)
Threat Modeling
Método de análisis basado en la seguridad.
Parte crucial del proceso de diseño.
Proceso para la evaluación y documentación de riesgos de seguridad (++).
Potente instrumento de comunicación!
Permite:
Identificar, evaluar y comprender amenazas de seguridad.
Colaborar en la identificación de estrategias de mitigación.
Colaborar en el proceso general de reducción de riesgos. (↓Costo de Asegurar)
Justificar la implementación de controles.
Mejorar la integración de nuevos miembros al “Dev Team”.
Conocer donde el producto es mas vulnerable, cuales amenazas requieren ser mitigadas
y como direccionar las mismas… proveer un proceso!!
Primeras Jornadas de Seguridad Web – Owasp DAY 2010
21
OWASP
Primeras Jornadas de Seguridad Web – Owasp DAY 2010
22
OWASP
Tip #3: Gestión de Riesgos (Cont.)
Que activos de información se deben asegurar?
Como puede infringirse el daño?
Que debilidad o falla permite que la amenaza se concrete?
Que acción puede un atacante llevar adelante para explotar una vulnerabilidad?
Atacante gana acceso privilegiado a base de
datos con información sensible. (Amenaza)
Cuenta de administrador “admin” con password
“admin” (Vulnerabilidad)
Primeras Jornadas de Seguridad Web – Owasp DAY 2010
23
OWASP
Tip #3: Gestión de Riesgos (Cont.)
Primeras Jornadas de Seguridad Web – Owasp DAY 2010
24
OWASP
Comenzando Ahora!
Asuma que todo INPUT es malicioso
Valide todo INPUT (Todo es TODO…)
Establezca Validaciones Efectivas (Tipo, Largo, Formato y Rango)
Codifique (Encode) el OUTPUT
Primeras Jornadas de Seguridad Web – Owasp DAY 2010
25
OWASP
Recomendaciones
Primeras Jornadas de Seguridad Web – Owasp DAY 2010
26
OWASP
Recomendaciones (Cont.)
Entrenamiento
Lea el documento Top 10 de OWASP.
Obtenga entrenamiento especifico respecto de seguridad en aplicaciones
web.
Aprenda como funcionan las vulnerabilidades en la vida real.
Política
Elabore y documente los requerimientos de seguridad que deben ser
cubiertos por su aplicación.
Diseño y Revisión
Diseñe con la seguridad en mente (Gestión de Riesgos/TM)
Someta sus aplicaciones a procesos de revisión de código y test de
intrusión en forma periódica y asegúrese que los mismos son llevados a
cabo por expertos.
Primeras Jornadas de Seguridad Web – Owasp DAY 2010
27
OWASP
Recomendaciones (Cont.)
Cliente
Demande aplicaciones web que sencillamente no incluyan ninguno de los
problemas mencionados en el Top 10 de OWASP
Desarrollador
Tome la responsabilidad de asegurar su código
Empresa de Desarrollo de Software
Garantice que sus aplicaciones web NO poseen ninguno de los problemas
mencionados en el Top 10 de OWASP
Profesor
Deje de enseñar código inseguro
Gerente de Proyectos
Considere la seguridad en cada parte del proyecto. Haga de las revisiones
de seguridad un proceso continuo.
Primeras Jornadas de Seguridad Web – Owasp DAY 2010
28
OWASP
Referencias y Lecturas Complementarias
OWASP “Guide to Building Secure Webs Apps”
http://www.owasp.org/documentation
OWASP (OWASP Top Ten Project)
www.owasp.org/documentation/topten.html
Web Application Security Consortium: Clasificación de Amenazas
http://www.webappsec.org/projects/threat/v1/WASC_TC-1.0.spa.pdf
Improving Web Application Security: Threats and Countermeasures
http://msdn.microsoft.com/library/default.asp?url=/library/en-s/dnnetsec/html/ThreatCounter.asp
OWASP’s Ten Most Critical Web App. Security Vulnerabilities
http://www.owasp.org/index.php/Image:OWASP_Top_Ten.ppt (Jef Williams Presentation)
Hernan M Racciatti – Papers & Presentations
http://www.hernanracciatti.com.ar
Writing Secure Code, Second Edition - Microsoft Press
(MichaelHoward / David LeBlanc) ISBN 0-7356-1722-8
Primeras Jornadas de Seguridad Web – Owasp DAY 2010
29
OWASP
Preguntas
Primeras Jornadas de Seguridad Web – Owasp DAY 2010
30
Comentarios de: Web Application: Security Tips (0)
No hay comentarios