Download - OWASP presentation on FISTA2011
![Page 1: OWASP presentation on FISTA2011](https://reader033.vdocuments.pub/reader033/viewer/2022051212/55859fbad8b42a711a8b4593/html5/thumbnails/1.jpg)
ISCTE-IUL/ISTA/ADETTI-IUL
Instituto Superior de Ciências do Trabalho e da EmpresaLisbon University Institute
IUL School of Technology and ArchitectureADETTI-IUL
Carlos Serrão
[email protected]@gmail.com
http://www.carlosserrao.nethttp://blog.carlosserrao.nethttp://www.linkedin.com/in/carlosserrao
Segurança * Software Universidade * Empresa
OWASP
![Page 2: OWASP presentation on FISTA2011](https://reader033.vdocuments.pub/reader033/viewer/2022051212/55859fbad8b42a711a8b4593/html5/thumbnails/2.jpg)
FI!AForum of ISCTE-IUL School of Technology and Architecture
3 e 4 de Maio
3 de Maio | tecnologias 4 de Maio | tecnologias e arquitectura
![Page 3: OWASP presentation on FISTA2011](https://reader033.vdocuments.pub/reader033/viewer/2022051212/55859fbad8b42a711a8b4593/html5/thumbnails/3.jpg)
FISTA@2011 2011
Sobre mim…
¨ {Professor Auxiliar}@ISCTE-IUL/ISTA/DCTI¨ {R&D, Consultor, PM}@ADETTI-IUL
¤Projectos. EC, Nacionais, Privados.¨ {Líder}@PT.OWASP¨ {Author}@*
¤Livros, Artigos, ...
¨ twitter.com/pontocom¨pt.linkedin.com/in/carlosserrao
3
![Page 4: OWASP presentation on FISTA2011](https://reader033.vdocuments.pub/reader033/viewer/2022051212/55859fbad8b42a711a8b4593/html5/thumbnails/4.jpg)
“We wouldn’t have to spend so much time, money, and effort on network security if we didn’t have such bad software security”
Viega & McGraw, Building Secure Software, Addison Wesley
![Page 5: OWASP presentation on FISTA2011](https://reader033.vdocuments.pub/reader033/viewer/2022051212/55859fbad8b42a711a8b4593/html5/thumbnails/5.jpg)
“the current state of security in commercial software is rather distasteful, marked by embarrassing public reports of vulnerabilities and actual attacks (...) and continual exhortations to customers to perform rudimentary checks and maintenance.”
Jim Routh, Beautiful Security, O'Reilly
![Page 6: OWASP presentation on FISTA2011](https://reader033.vdocuments.pub/reader033/viewer/2022051212/55859fbad8b42a711a8b4593/html5/thumbnails/6.jpg)
“Software buyers are literally crash test dummies for an industry that is remarkably insulated against liability”
David Rice, Geekonomics: The Real Cost of Insecure Software, Addison-Wesley
![Page 7: OWASP presentation on FISTA2011](https://reader033.vdocuments.pub/reader033/viewer/2022051212/55859fbad8b42a711a8b4593/html5/thumbnails/7.jpg)
So#ware
![Page 8: OWASP presentation on FISTA2011](https://reader033.vdocuments.pub/reader033/viewer/2022051212/55859fbad8b42a711a8b4593/html5/thumbnails/8.jpg)
So#ware
![Page 9: OWASP presentation on FISTA2011](https://reader033.vdocuments.pub/reader033/viewer/2022051212/55859fbad8b42a711a8b4593/html5/thumbnails/9.jpg)
![Page 10: OWASP presentation on FISTA2011](https://reader033.vdocuments.pub/reader033/viewer/2022051212/55859fbad8b42a711a8b4593/html5/thumbnails/10.jpg)
![Page 11: OWASP presentation on FISTA2011](https://reader033.vdocuments.pub/reader033/viewer/2022051212/55859fbad8b42a711a8b4593/html5/thumbnails/11.jpg)
![Page 12: OWASP presentation on FISTA2011](https://reader033.vdocuments.pub/reader033/viewer/2022051212/55859fbad8b42a711a8b4593/html5/thumbnails/12.jpg)
FISTA@2011 2011
Segurança de Software11
![Page 13: OWASP presentation on FISTA2011](https://reader033.vdocuments.pub/reader033/viewer/2022051212/55859fbad8b42a711a8b4593/html5/thumbnails/13.jpg)
FISTA@2011 2011
Segurança de Software
¨o software é ubíquo11
![Page 14: OWASP presentation on FISTA2011](https://reader033.vdocuments.pub/reader033/viewer/2022051212/55859fbad8b42a711a8b4593/html5/thumbnails/14.jpg)
FISTA@2011 2011
Segurança de Software
¨o software é ubíquo¨dependemos do software nos diversos aspectos
da nossa vida
11
![Page 15: OWASP presentation on FISTA2011](https://reader033.vdocuments.pub/reader033/viewer/2022051212/55859fbad8b42a711a8b4593/html5/thumbnails/15.jpg)
FISTA@2011 2011
Segurança de Software
¨o software é ubíquo¨dependemos do software nos diversos aspectos
da nossa vida¨ funções críticas de negócio dependem de
software
11
![Page 16: OWASP presentation on FISTA2011](https://reader033.vdocuments.pub/reader033/viewer/2022051212/55859fbad8b42a711a8b4593/html5/thumbnails/16.jpg)
FISTA@2011 2011
Segurança de Software
¨o software é ubíquo¨dependemos do software nos diversos aspectos
da nossa vida¨ funções críticas de negócio dependem de
software¨software está cada vez mais exposto à Internet
11
![Page 17: OWASP presentation on FISTA2011](https://reader033.vdocuments.pub/reader033/viewer/2022051212/55859fbad8b42a711a8b4593/html5/thumbnails/17.jpg)
FISTA@2011 2011
Segurança de Software
¨o software é ubíquo¨dependemos do software nos diversos aspectos
da nossa vida¨ funções críticas de negócio dependem de
software¨software está cada vez mais exposto à Internet¨exposição aumentada torna o software visível
para terceiros
11
![Page 18: OWASP presentation on FISTA2011](https://reader033.vdocuments.pub/reader033/viewer/2022051212/55859fbad8b42a711a8b4593/html5/thumbnails/18.jpg)
FISTA@2011 2011
Segurança de Software
¨o software é ubíquo¨dependemos do software nos diversos aspectos
da nossa vida¨ funções críticas de negócio dependem de
software¨software está cada vez mais exposto à Internet¨exposição aumentada torna o software visível
para terceiros¨nem todas as pessoas são bem intencionadas
11
![Page 19: OWASP presentation on FISTA2011](https://reader033.vdocuments.pub/reader033/viewer/2022051212/55859fbad8b42a711a8b4593/html5/thumbnails/19.jpg)
FISTA@2011 2011
Problema no software12
![Page 20: OWASP presentation on FISTA2011](https://reader033.vdocuments.pub/reader033/viewer/2022051212/55859fbad8b42a711a8b4593/html5/thumbnails/20.jpg)
FISTA@2011 2011
Problema no software
Características do software actual12
![Page 21: OWASP presentation on FISTA2011](https://reader033.vdocuments.pub/reader033/viewer/2022051212/55859fbad8b42a711a8b4593/html5/thumbnails/21.jpg)
FISTA@2011 2011
Problema no software
Características do software actual¨ Complexidade
¤Ataques exploram bugs designados por vulnerabilidades¤Estima-se entre 5-50 bugs por 1000 linhas de código¤Windows XP 40 milhões de linhas de código
12
![Page 22: OWASP presentation on FISTA2011](https://reader033.vdocuments.pub/reader033/viewer/2022051212/55859fbad8b42a711a8b4593/html5/thumbnails/22.jpg)
FISTA@2011 2011
Problema no software
Características do software actual¨ Complexidade
¤Ataques exploram bugs designados por vulnerabilidades¤Estima-se entre 5-50 bugs por 1000 linhas de código¤Windows XP 40 milhões de linhas de código
¨ Extensibilidade¤O que é o software nos nossos computadores? SO +
software em produção + patches + 3rd party DLLs + device drivers + plugins + ....
12
![Page 23: OWASP presentation on FISTA2011](https://reader033.vdocuments.pub/reader033/viewer/2022051212/55859fbad8b42a711a8b4593/html5/thumbnails/23.jpg)
FISTA@2011 2011
Problema no software
Características do software actual¨ Complexidade
¤Ataques exploram bugs designados por vulnerabilidades¤Estima-se entre 5-50 bugs por 1000 linhas de código¤Windows XP 40 milhões de linhas de código
¨ Extensibilidade¤O que é o software nos nossos computadores? SO +
software em produção + patches + 3rd party DLLs + device drivers + plugins + ....
¨ Conectividade¤Internet (1+ biliões de utilizadores) + sistemas de
controlo + PDAs + telemóveis + ...
12
![Page 24: OWASP presentation on FISTA2011](https://reader033.vdocuments.pub/reader033/viewer/2022051212/55859fbad8b42a711a8b4593/html5/thumbnails/24.jpg)
![Page 25: OWASP presentation on FISTA2011](https://reader033.vdocuments.pub/reader033/viewer/2022051212/55859fbad8b42a711a8b4593/html5/thumbnails/25.jpg)
Defeitos no software provocam vulnerabilidades!
![Page 26: OWASP presentation on FISTA2011](https://reader033.vdocuments.pub/reader033/viewer/2022051212/55859fbad8b42a711a8b4593/html5/thumbnails/26.jpg)
Defeitos no software provocam vulnerabilidades!
deficiências inerentes no modelo de processamento do software (web, SOA, e-mail, etc.) e no modelo associado aos protocolos e tecnologias usadas
problemas na arquitectura de segurança do software
defeitos nos componentes de execução do software (middleware, frameworks, SO, etc.)
defeitos no desenho ou implementação dos interfaces de software com componentes do ambiente de execução ou da aplicação
defeitos no desenho ou implementação de interfaces de software com os utilizadores (humanos ou processos de software)
defeitos no desenho ou implementação do processamento do input do software
![Page 27: OWASP presentation on FISTA2011](https://reader033.vdocuments.pub/reader033/viewer/2022051212/55859fbad8b42a711a8b4593/html5/thumbnails/27.jpg)
FISTA@2011 2011
Tipologia de um ataque aplicacional14
Network Layer
OS Layer
Application Layer
(End-user interface)
Network Layer
OS Layer
Application Layer
Custom
ApplicationBack-end
Database
Application Traffic
![Page 28: OWASP presentation on FISTA2011](https://reader033.vdocuments.pub/reader033/viewer/2022051212/55859fbad8b42a711a8b4593/html5/thumbnails/28.jpg)
FISTA@2011 2011
Tipologia de um ataque aplicacional14
Network Layer
OS Layer
Application Layer
(End-user interface)
Network Layer
OS Layer
Application Layer
Custom
ApplicationBack-end
Database
Application Traffic
![Page 29: OWASP presentation on FISTA2011](https://reader033.vdocuments.pub/reader033/viewer/2022051212/55859fbad8b42a711a8b4593/html5/thumbnails/29.jpg)
FISTA@2011 2011
Tipologia de um ataque aplicacional14
Network Layer
OS Layer
Application Layer
(End-user interface)
Network Layer
OS Layer
Application Layer
Custom
ApplicationBack-end
Database
Application Traffic
![Page 30: OWASP presentation on FISTA2011](https://reader033.vdocuments.pub/reader033/viewer/2022051212/55859fbad8b42a711a8b4593/html5/thumbnails/30.jpg)
FISTA@2011 2011
Tipologia de um ataque aplicacional14
Network Layer
OS Layer
Application Layer
(End-user interface)
Network Layer
OS Layer
Application Layer
Custom
ApplicationBack-end
Database
Application Traffic
![Page 31: OWASP presentation on FISTA2011](https://reader033.vdocuments.pub/reader033/viewer/2022051212/55859fbad8b42a711a8b4593/html5/thumbnails/31.jpg)
![Page 32: OWASP presentation on FISTA2011](https://reader033.vdocuments.pub/reader033/viewer/2022051212/55859fbad8b42a711a8b4593/html5/thumbnails/32.jpg)
FISTA@2011 2011
Contexto
¨ Falta de percepção da segurança¤as (algumas) organizações
não investem o suficiente em segurança (ou investem incorretamente)
¤programadores não percebem os riscos de segurança (ou não podem ou querem perceber)
nDISCLAIMER: não estou com isto a insinuar que *TODOS* os programadores são maus ;-)
16
![Page 33: OWASP presentation on FISTA2011](https://reader033.vdocuments.pub/reader033/viewer/2022051212/55859fbad8b42a711a8b4593/html5/thumbnails/33.jpg)
FISTA@2011 2011
Contexto17
Tendências Cisco para 2011
![Page 34: OWASP presentation on FISTA2011](https://reader033.vdocuments.pub/reader033/viewer/2022051212/55859fbad8b42a711a8b4593/html5/thumbnails/34.jpg)
FISTA@2011 2011
Contexto18
Número médio de vulnerabilidades sérias encontradasem WebApps por sector (fonte: WhiteHat, 2010)
![Page 35: OWASP presentation on FISTA2011](https://reader033.vdocuments.pub/reader033/viewer/2022051212/55859fbad8b42a711a8b4593/html5/thumbnails/35.jpg)
FISTA@2011 2011
Contexto19
Percentagem de ocorrência de problemas de segurança emWebApps (fonte: WhiteHat, 2010)
![Page 36: OWASP presentation on FISTA2011](https://reader033.vdocuments.pub/reader033/viewer/2022051212/55859fbad8b42a711a8b4593/html5/thumbnails/36.jpg)
... an open community dedicated to enabling organizations to develop, purchase, and maintain applications that can be trusted
![Page 37: OWASP presentation on FISTA2011](https://reader033.vdocuments.pub/reader033/viewer/2022051212/55859fbad8b42a711a8b4593/html5/thumbnails/37.jpg)
FISTA@2011 2011
OWASP?21
¨Open Web Application Security Project¤Promove o desenvolvimento seguro de software¤Orientado para o desenvolvimento de serviços
baseados na web¤Focado principalmente em aspectos de
desenvolvimento do que em web-design¤Um fórum aberto para discussão¤Um recurso gratuito e livre para qualquer equipa
de desenvolvimento
![Page 38: OWASP presentation on FISTA2011](https://reader033.vdocuments.pub/reader033/viewer/2022051212/55859fbad8b42a711a8b4593/html5/thumbnails/38.jpg)
FISTA@2011 2011
OWASP?
¨ Open Web Application Security Project¤Organização sem fins lucrativos, orientada para
esforço voluntárionTodos os membros são voluntáriosnTodo o trabalho é “doado” por patrocinadores
¤Oferecer recursos livres para a comunidadenPublicações, Artigos, NormasnSoftware de Testes e de FormaçãonChapters Locais & Mailing Lists
¤Suportada através de patrocíniosnSuporte de empresas através de patrocínios financeiros ou de
projectosnPatrocínios pessoais por parte dos membros
22
![Page 39: OWASP presentation on FISTA2011](https://reader033.vdocuments.pub/reader033/viewer/2022051212/55859fbad8b42a711a8b4593/html5/thumbnails/39.jpg)
FISTA@2011 2011
OWASP23
![Page 40: OWASP presentation on FISTA2011](https://reader033.vdocuments.pub/reader033/viewer/2022051212/55859fbad8b42a711a8b4593/html5/thumbnails/40.jpg)
FISTA@2011 2011
OWASP24
![Page 41: OWASP presentation on FISTA2011](https://reader033.vdocuments.pub/reader033/viewer/2022051212/55859fbad8b42a711a8b4593/html5/thumbnails/41.jpg)
FISTA@2011 2011
OWASP?25
![Page 42: OWASP presentation on FISTA2011](https://reader033.vdocuments.pub/reader033/viewer/2022051212/55859fbad8b42a711a8b4593/html5/thumbnails/42.jpg)
FISTA@2011 2011
OWASP?
¨ Top 10 Web Application Security Risks/Vulnerabilities¤Uma lista dos 10 aspectos de segurança mais
críticos¤Actualizado numa base anual¤Crescente aceitação pela indústria
nFederal Trade Commission (US Gov)nUS Defense Information Systems AgencynVISA (Cardholder Information Security Program)
¨ Está a ser adoptado como um standard de segurança para aplicações web
26
![Page 43: OWASP presentation on FISTA2011](https://reader033.vdocuments.pub/reader033/viewer/2022051212/55859fbad8b42a711a8b4593/html5/thumbnails/43.jpg)
FISTA@2011 2011
OWASP?27
h3p://www.owasp.org/index.php/Top_10
![Page 44: OWASP presentation on FISTA2011](https://reader033.vdocuments.pub/reader033/viewer/2022051212/55859fbad8b42a711a8b4593/html5/thumbnails/44.jpg)
FISTA@2011 2011
OWASP28
![Page 45: OWASP presentation on FISTA2011](https://reader033.vdocuments.pub/reader033/viewer/2022051212/55859fbad8b42a711a8b4593/html5/thumbnails/45.jpg)
FISTA@2011 2011
PT.OWASP
¨… alguns dados
¨Membros (ML)¤~90 membros
¨Web-site¤http://www.owasp.org/index.php/Portuguese
¨Mailling-List¤[email protected]
29
![Page 46: OWASP presentation on FISTA2011](https://reader033.vdocuments.pub/reader033/viewer/2022051212/55859fbad8b42a711a8b4593/html5/thumbnails/46.jpg)
FISTA@2011 2011
História e Actividade
¨ 2007¤ Nasce o chapter português¤ Actividade quase nula
¨ 2008¤ OWASP EU Summit 08¤ Albufeira, Algarve, Portugal
¨ 2009¤ owasp@IPCB (Castelo Branco), owasp@IPViseu (Viseu), owasp@UBI
(Covilhã)¤ IBWAS’09, Madrid
¨ 2010¤ owasp@ISCTE-IUL¤ Samy Kamkar, How I met Your Girlfriend, Lisboa¤ IBWAS’10, Lisboa
¨ 2011¤ OWASP SUMMIT 2011, Torres Vedras, 8th - 11th February
30
![Page 47: OWASP presentation on FISTA2011](https://reader033.vdocuments.pub/reader033/viewer/2022051212/55859fbad8b42a711a8b4593/html5/thumbnails/47.jpg)
FISTA@2011 2011
OWASP EU SUMMIT 2008
¨OWASP EU SUMMIT 2008¤1 semana, +100 pessoas (de todo o Mundo)¤Apresentação de Projectos¤Sessões de Trabalho¤Formação¤+ 1 dia de Demo na UAlg
31
![Page 48: OWASP presentation on FISTA2011](https://reader033.vdocuments.pub/reader033/viewer/2022051212/55859fbad8b42a711a8b4593/html5/thumbnails/48.jpg)
FISTA@2011 2011
IBWAS’09
¨1st. OWASP Iberic Web App Sec 2009¨Dezembro 2009
¤Universidade Politécnica de Madrid¤Speakers, entre os quais Bruce Schneier
32
![Page 49: OWASP presentation on FISTA2011](https://reader033.vdocuments.pub/reader033/viewer/2022051212/55859fbad8b42a711a8b4593/html5/thumbnails/49.jpg)
FISTA@2011 2011
Samy Kamkar - Lisboa
¨ Sobre¤ http://samy.pl ¤ @samykamkar
¤ desenvolveu 1º worm XSS para o MySpacen 1M utilizadores infectados < 24h
¤ co-fundador da Fonality, Inc.n produtos de IP PBX
¨ How I met Your Girlfriend¤ BlackHat 2010 - LV, USA¤ conjunto de novos ataques descobertos, executados
através da Web, com o objectivo de conhecer a vossa namorada ;-)
¨ Integrado numa Tour Europeia patrocinada pela OWASP
33
“think bad, do good”
![Page 50: OWASP presentation on FISTA2011](https://reader033.vdocuments.pub/reader033/viewer/2022051212/55859fbad8b42a711a8b4593/html5/thumbnails/50.jpg)
FISTA@2011 2011
IBWAS’10
¨2nd. OWASP Ibero-American Web App Sec 2010¨Dezembro 2010
¤ISCTE-IULnSessões Técnicas/ProfissionaisnSessões de Research/Académicas
¤http://www.ibwas.com
34
![Page 51: OWASP presentation on FISTA2011](https://reader033.vdocuments.pub/reader033/viewer/2022051212/55859fbad8b42a711a8b4593/html5/thumbnails/51.jpg)
FISTA@2011 2011
OWASP SUMMIT 201135
![Page 52: OWASP presentation on FISTA2011](https://reader033.vdocuments.pub/reader033/viewer/2022051212/55859fbad8b42a711a8b4593/html5/thumbnails/52.jpg)
FISTA@2011 2011
OWASP
¨Recomendações (Universidades, CI)¤Inclusão das boas práticas de segurança de
aplicações no conteúdo dos cursos ou UCs¤Definição de cursos avançados para formação de
mão-de-obra na área¤Fomentar e financiar investigação sobre
segurança de aplicações¤Promover a formação de profissionais capazes de
actuar com ética e responsabilidade
36
![Page 53: OWASP presentation on FISTA2011](https://reader033.vdocuments.pub/reader033/viewer/2022051212/55859fbad8b42a711a8b4593/html5/thumbnails/53.jpg)
FISTA@2011 2011
OWASP
¨O que pode a OWASP oferecer¤know-how¤ferramentas¤Global Conference Committee¤Global Education Committee¤OWASP Academic Portal
37
![Page 54: OWASP presentation on FISTA2011](https://reader033.vdocuments.pub/reader033/viewer/2022051212/55859fbad8b42a711a8b4593/html5/thumbnails/54.jpg)
FISTA@2011 2011
Finalmente...
¨ … juntem-se a nós.¨ Participem!
¤Mailing List¤Blog¤Reuniões¤Eventos¤Projectos¤Ideias
¨ Informação útil¤http://www.owasp.org ¤http://www.owasp.org/index.php/Portuguese
38
![Page 55: OWASP presentation on FISTA2011](https://reader033.vdocuments.pub/reader033/viewer/2022051212/55859fbad8b42a711a8b4593/html5/thumbnails/55.jpg)
ISCTE-IUL/ISTA/ADETTI-IUL
Instituto Superior de Ciências do Trabalho e da EmpresaLisbon University Institute
IUL School of Technology and ArchitectureADETTI-IUL
Carlos Serrão
[email protected]@gmail.com
http://www.carlosserrao.nethttp://blog.carlosserrao.nethttp://www.linkedin.com/in/carlosserrao
Segurança * Software Universidade * Empresa
Visão da Segurança na Indústria de Software