Curso: (30227) Seguridad Inform´atica
Fernando Tricas Garc´ıa
Departamento de Inform´atica e Ingenier´ıa de Sistemas
Universidad de Zaragoza
http://webdiis.unizar.es/~ftricas/
http://moodle.unizar.es/
[email protected]
Algunos datos sobre desarrollo y seguridad de
aplicaciones
Fernando Tricas Garc´ıa
Departamento de Inform´atica e Ingenier´ıa de Sistemas
Universidad de Zaragoza
http://webdiis.unizar.es/~ftricas/
http://moodle.unizar.es/
[email protected]
Un ´ındice (tentantivo)
(cid:73) Introducci´on
(cid:73) Principios
(cid:73) Condiciones de carrera
(cid:73) Aleatoriedad y determinismo
(cid:73) Criptograf´ıa
(cid:73) Gesti´on de la confianza y validaci´on de entradas
(cid:73) Seguridad y bases de datos
(cid:73) Autentificaci´on
(cid:73) En la web
(cid:73) Gesti´on de riesgos
(cid:73) Auditor´ıa y pistas sobre algunos lenguajes
30227 Seguridad Inform´atica. Fernando Tricas Garc´ıa.
3
Tres pr´acticas
(cid:73) Desbordamientos de memoria
(cid:73) Utilizaci´on de Criptograf´ıa
(cid:73) Utilizaci´on de ESAPI
30227 Seguridad Inform´atica. Fernando Tricas Garc´ıa.
4
Introducci´on. Antes de empezar.
(cid:73) Se invierte mucho tiempo, dinero y esfuerzo en seguridad a
nivel de red por la mala calidad de los programas.
(cid:73) Los antivirus, los cortafuegos, los sistemas de detecci´on de
intrusos (IDS) ayudan.
(cid:73) Los programas malos son mucho m´as abundantes de lo que
creemos.
(cid:73) La forma de desarrollar los programas es responsable en gran
medida del problema.
30227 Seguridad Inform´atica. Fernando Tricas Garc´ıa.
5
Cifras
(cid:73) En 2002 el ‘National Institute of Standards and Technology’
(NIST) estim´o que los defectos de los programas costaban
mas de 60 millardos de d´olares (60 billions).
(cid:73) Detectarlos a tiempo ahorrar´ıa 22 millardos de d´olares.
Citado en:
‘Measuring software quality. A Study of Open Source Software’
Coverity, 2006.
http://osvdb.org/ref/blog/open_source_quality_report.pdf
http://www.coverity.com/library/pdf/open_source_quality_report.pdf
(2014)
http://go.coverity.com/rs/157-LQW-289/images/2014-Coverity-Scan-Report.pdf
(cid:73) Menos del 10 % de proyectos en empresas grandes terminan a
tiempo, y cumpliendo el presupuesto.
(cid:73) Las tasas de defectos en productos comerciales se estiman
entre 10 y 17 por cada 1000 l´ıneas de c´odigo.
(cid:73) R.D. Tennent. Specifying Software. Cambridge University
Press. 2002.
30227 Seguridad Inform´atica. Fernando Tricas Garc´ıa.
6
M´as cifras
(cid:73) Diciembre de 1990: Miller, Fredrickson. ‘An empirical study of
the reliability of Unix Utilities’ (Communications of the ACM,
Vol 33, issue 12, pp.32-44).
(cid:73) Entre el 25 y el 33 % de las utilidades en Unix pod´ıan
interrumpirse o colgarse proporcion´andoles entradas
inesperadas.
(cid:73) 1995: Miller otra vez, ejecutando Fuzz en nueve plataformas
tipo Unix diferentes:
(cid:73) Fallos entre un 15 y un 43 %
(cid:73) Muchos fallos ya avisados en el 90 segu´ıan all´ı
(cid:73) La menor tasa de fallos: utilidades de la FSF (7 %) y a las
incluidas junto con Linux (9 %) (¿Uh?)
No consiguieron hacer fallar ning´un servidor de red. Tampoco
el servidor X Window. Muchos clientes de X, s´ı
30227 Seguridad Inform´atica. Fernando Tricas Garc´ıa.
7
Cifras
(cid:73) 2000: Miller y Forrester. Fuzz con Windows NT.
(cid:73) 45 % de los programas se colgaron o se interrumpieron
(cid:73) Enviar mensajes aleatorios Win32 a las aplicaciones hac´ıa fallar
al 100 %
(cid:73) 2006: Miller, Cooksey y Moore. Fuzz y Mac OS X.
(cid:73) 7 % de las aplicaciones de l´ınea de ´ordenes.
(cid:73) De las 30 basadas en GUI s´olo 8 no se colgaron o se pararon.
http://pages.cs.wisc.edu/~bart/fuzz/fuzz.html
30227 Seguridad Inform´atica. Fernando Tricas Garc´ıa.
8
Cifras
A˜no 2010, CanSecWest.
(cid:73) Acrobat Reader 9.2.0
(cid:73) Mac OS X PDF viewer (Mac OS X 10.6)
(cid:73) iPhone 3.1.2 (sin jailbreak). Ver pdfs con el navegador
MobileSafari
(cid:73) OO.org PPT
(cid:73) MS PowerPoint 2008 para Mac 12.2.3
(cid:73) MS Office PowerPoint 2007 SP2 MSO (12.0.6425.1000)
(cid:73) Resultados similares...
30227 Seguridad Inform´atica. Fernando Tricas Garc´ıa.
9
Cifras
A˜no 2010, CanSecWest.
(cid:73) Acrobat Reader 9.2.0
(cid:73) Mac OS X PDF viewer (Mac OS X 10.6)
(cid:73) iPhone 3.1.2 (sin jailbreak). Ver pdfs con el navegador
MobileSafari
(cid:73) OO.org PPT
(cid:73) MS PowerPoint 2008 para Mac 12.2.3
(cid:73) MS Office PowerPoint 2007 SP2 MSO (12.0.6425.1000)
(cid:73) Resultados similares...
Microsoft ya ‘Fuzzea’
http:
//www.computerworld.com/s/article/9174539/Microsoft_runs_fuzzing_botnet_finds_1_800_Office_bugs
30227 Seguridad Inform´atica. Fernando Tricas Garc´ıa.
9
Resultados de robustez – 31 dispositivos Bluetooth (2007)
(cid:73) S´olo 3 dispositivos sobrevivieron a todos los tests.
(cid:73) Los dem´as tuvieron problemas con, al menos, un perfil
(cid:73) La mayor´ıa simplemente se colgaron
(cid:73) En algunos casos hubo que reprogramar la memoria flash
corrupta
30227 Seguridad Inform´atica. Fernando Tricas Garc´ıa.
10
Resultados de robustez para 7 puntos de acceso Wifi
Resultados de robustez para 7 puntos de acceso Wifi:
(cid:73) S´olo se marcan como FAIL los que son reproducibles (INC
muestra que ha habido fallos pero no f´aciles de repetir).
(cid:73) Todos fallaron en alguna de las pruebas.
‘Wireless Security: Past, Present and Future. Sami Pet¨aj¨asoja, Tommi
M¨akil¨a, Mikko Varpiola, Miikka Saukko and Ari Takanen’. Feb 2008.
https://www.info-point-security.com/open_downloads/2009/Codenomicon_wp_Wireless_engl.pdf
30227 Seguridad Inform´atica. Fernando Tricas Garc´ıa.
11
Cifras
(cid:73) 2004-2005. Honeypot, con varios sistemas (6: Windows, Mac,
Linux). Una semana. Fueron escaneados 46255 veces desde el
exterior con un resultado de 4892 ataques directos.
(cid:73) Windows XP. SP1.
(cid:73) 4857 ataques. Comprometido en 18 minutos por Blaster y
Sasser. En una hora el ordenador estaba lanzando sus propios
ataques.
(cid:73) Windows XP. SP2.
(cid:73) 16 ataques
(cid:73) Sobrevivi´o a todos ellos
(cid:73) MacOS X Jaguar (3, 0), Suse Professional 9.2 (8,0), Fedora
Core 3 (8,0), Red Hat 9 (0 ataques).
http://alexpapa.blogs.com/business/files/20050228_TheDenverPost_PCSecurity.pdf
(Ya no est´a disponible en su direcci´on original)
30227 Seguridad Inform´atica. Fernando Tricas Garc´ıa.
12
¿Actualizaciones?
(cid:73) Feb-Marzo 2005:
(cid:73) Menos del 24 % de los Windows XP observados en un estudio
de AssetMetrix Research Labs ten´ıan SP2.
(cid:73) Menos del 7 % del total lo ten´ıan.
251 empresas norteamericanas (seis meses despu´es de su
lanzamiento).
30227 Seguridad Inform´atica. Fernando Tricas Garc´ıa.
13
Estudio OpenSSH
(cid:73) Julio 2002 se descubri´o un fallo de desbordamiento de
memoria remoto
(cid:73) Dos semanas despu´es de la publicaci´on del anuncio del fallo,
mas de 2/3 de los servidores observados segu´ıan siendo
vulnerables.
(cid:73) Septiembre 2002. Un gusano explotaba el fallo (Slapper).
(cid:73) El 60 % de servidores era todav´ıa vulnerable.
‘Security holes. . . Who cares? Eric Rescorla’
http://www.cgisecurity.com/lib/reports/slapper-report.pdf
30227 Seguridad Inform´atica. Fernando Tricas Garc´ıa.
14
¿Actualizaciones?
Conficker, Downadup
(cid:73) 23 de octubre de 2008 actualizaci´on ‘fuera de ciclo’
(cid:73) 30 d´ıas despu´es menos del 50 % sin parchear
(cid:73) 3 meses despu´es 30 % sin parchear.
‘1 in 3 Windows PCs vulnerable to worm attack’
http://www.computerworld.com/article/2529507/security0/
1-in-3-windows-pcs-vulnerable-to-worm-attack.html
15 de enero de 2009
30227 Seguridad Inform´atica. Fernando Tricas Garc´ıa.
15
En bases de datos
‘DBA–Security Superhero’ (2014 IOUG Enterprise Data Security
Survey)
http://www.oracle.com/us/products/database/2014-ioug-dba-security-superhero-2338955.pdf
30227 Seguridad Inform´atica. Fernando Tricas Garc´ıa.
16
Introducci´on. Antes de empezar.
(cid:73) Los programas no tienen garant´ıa (¿todav´ıa?).
(cid:73) La seguridad es un problema de gesti´on de riesgos.
(cid:73) Pensemos en la seguridad durante el dise˜no, despu´es ya es
tarde.
George Hulme, ‘Is It Time For Software Liability?’
16 de febrero de 2010
http://www.informationweek.com/security/is-it-time-for-software-liability/229203542
’Lawsuit seeks damages against automakers and their hackable
cars’
http://www.computerworld.com/article/2895057/telematics/
lawsuit-seeks-damages-against-automakers-and-their-hackable-cars.html
Jon Evans, ‘Should Software Companies Be Legally Liable For
Security Breaches?’
6 de agosto de 2015
http:
//techcrunch.com/2015/08/06/should-software-companies-be-legally-liable-for-security-breaches/
Geekonomics. The Real Cost of Insecure Software. [David Rice]
Addison-Wesley Professional; 1 edition (December 9, 2007)
30227 Seguridad Inform´atica. Fernando Tricas Garc´ıa.
17
Puede haber castigo
Cada vez se habla m´as de la responsabilidad de las empresas que
desarrollan programas (R.D. Tennent. Specifying Software. Cambridge
University Press. 2002.):
(cid:73) 1999. Ambrosia Software (Rochester, N.Y.) anunci´o que si alguno
de sus productos requer´ıan la reparaci´on de errores, el responsable
de marketing comer´ıa insectos en alguna feria.
http://www.ambrosiasw.com/ambrosia_times/September_99/EekABug.html
Parece que finalmente tuvieron que comerlos . . .
http://www.macobserver.com/tmo/article/Ambrosia_President_To_Eat_Live_Bugs_At_MACWORLD/
(cid:73) 31 de diciembre de 1999. Las autoridades chinas obligaron a los
ejecutivos de la compa˜n´ıa a´erea nacional a volar durante esa noche
en los vuelos programados.
30227 Seguridad Inform´atica. Fernando Tricas Garc´ıa.
18
¿Y los usuarios?
(cid:73) Cada vez hay m´as computadores y en m´as sitios.
(cid:73) La gente ni sabe ni quiere saber de estos temas.
D. Akhawe, A. Porter Felt. ‘Alice in Warningland: A Large-Scale Field
Study of Browser Security Warning Effectiveness‘
http://www.theregister.co
Comentarios de: Curso: (30227) Seguridad Informática (0)
No hay comentarios