SlideShare uma empresa Scribd logo

OWASP presentation on FISTA2011

Carlos Serrao
Carlos Serrao

Este documento descreve as atividades e objetivos da comunidade OWASP Portugal. Resume que a OWASP é uma comunidade aberta dedicada a melhorar a segurança de software; que o capítulo português tem cerca de 90 membros e realiza eventos regulares como conferências e workshops sobre segurança de aplicações web; e que a OWASP recomenda que universidades e instituições incluam práticas de segurança de software nos currículos e financiem mais investigação sobre o tema.

EducaçãoTecnologiaNegócios
1 de 55
Baixar para ler offline
Segurança * Software Universidade * Empresa OWASP ISCTE-IUL/ISTA/ADETTI-IUL Carlos Serrão Instituto Superior de Ciências do Trabalho e da Empresa carlos.serrao@iscte.pt Lisbon University Institute carlos.j.serrao@gmail.com IUL School of Technology and Architecture ADETTI-IUL http://www.carlosserrao.net http://blog.carlosserrao.net http://www.linkedin.com/in/carlosserrao
3 e 4 de Maio FI A Forum of ISCTE-IUL School of Technology and Architecture
Sobre mim… 3 ¨ {Professor Auxiliar}@ISCTE-IUL/ISTA/DCTI ¨ {R&D, Consultor, PM}@ADETTI-IUL ¤Projectos. EC, Nacionais, Privados. ¨ {Líder}@PT.OWASP ¨ {Author}@* ¤Livros, Artigos, ... ¨ twitter.com/pontocom ¨ pt.linkedin.com/in/carlosserrao FISTA@2011 2011
“We wouldn’t have to spend so much time, money, and effort on network security if we didn’t have such bad software security” Viega & McGraw, Building Secure Software, Addison Wesley
“the current state of security in commercial software is rather distasteful, marked by embarrassing public reports of vulnerabilities and actual attacks (...) and continual exhortations to customers to perform rudimentary checks and maintenance.” Jim Routh, Beautiful Security, O'Reilly
“Software buyers are literally crash test dummies for an industry that is remarkably insulated against liability” David Rice, Geekonomics: The Real Cost of Insecure Software, Addison-Wesley
So#ware
So#ware
Segurança de Software 11 FISTA@2011 2011
Segurança de Software 11 ¨ o software é ubíquo FISTA@2011 2011
Segurança de Software 11 ¨ o software é ubíquo ¨ dependemos do software nos diversos aspectos da nossa vida FISTA@2011 2011
Segurança de Software 11 ¨ o software é ubíquo ¨ dependemos do software nos diversos aspectos da nossa vida ¨ funções críticas de negócio dependem de software FISTA@2011 2011
Segurança de Software 11 ¨ o software é ubíquo ¨ dependemos do software nos diversos aspectos da nossa vida ¨ funções críticas de negócio dependem de software ¨ software está cada vez mais exposto à Internet FISTA@2011 2011
Segurança de Software 11 ¨ o software é ubíquo ¨ dependemos do software nos diversos aspectos da nossa vida ¨ funções críticas de negócio dependem de software ¨ software está cada vez mais exposto à Internet ¨ exposição aumentada torna o software visível para terceiros FISTA@2011 2011
Segurança de Software 11 ¨ o software é ubíquo ¨ dependemos do software nos diversos aspectos da nossa vida ¨ funções críticas de negócio dependem de software ¨ software está cada vez mais exposto à Internet ¨ exposição aumentada torna o software visível para terceiros ¨ nem todas as pessoas são bem intencionadas FISTA@2011 2011
Problema no software 12 FISTA@2011 2011
Problema no software 12 Características do software actual FISTA@2011 2011
Problema no software 12 Características do software actual ¨ Complexidade ¤ Ataques exploram bugs designados por vulnerabilidades ¤ Estima-se entre 5-50 bugs por 1000 linhas de código ¤ Windows XP 40 milhões de linhas de código FISTA@2011 2011
Problema no software 12 Características do software actual ¨ Complexidade ¤ Ataques exploram bugs designados por vulnerabilidades ¤ Estima-se entre 5-50 bugs por 1000 linhas de código ¤ Windows XP 40 milhões de linhas de código ¨ Extensibilidade ¤ O que é o software nos nossos computadores? SO + software em produção + patches + 3rd party DLLs + device drivers + plugins + .... FISTA@2011 2011
Problema no software 12 Características do software actual ¨ Complexidade ¤ Ataques exploram bugs designados por vulnerabilidades ¤ Estima-se entre 5-50 bugs por 1000 linhas de código ¤ Windows XP 40 milhões de linhas de código ¨ Extensibilidade ¤ O que é o software nos nossos computadores? SO + software em produção + patches + 3rd party DLLs + device drivers + plugins + .... ¨ Conectividade ¤ Internet (1+ biliões de utilizadores) + sistemas de controlo + PDAs + telemóveis + ... FISTA@2011 2011
Defeitos no software provocam vulnerabilidades!
deficiências inerentes no modelo de defeitos no desenho ou processamento do software (web, implementação de interfaces de SOA, e-mail, etc.) e no modelo software com os utilizadores associado aos protocolos e (humanos ou processos de software) tecnologias usadas defeitos no desenho ou problemas na arquitectura de implementação do processamento do segurança do software input do software defeitos nos componentes de execução do software (middleware, frameworks, SO, etc.) defeitos no desenho ou implementação dos interfaces de software com componentes do ambiente de execução ou da aplicação Defeitos no software provocam vulnerabilidades!
Tipologia de um ataque aplicacional 14 Network Layer OS Layer Application Network Layer Layer OS Layer Custom Back-end Application Application Database Layer (End-user Application Traffic interface) FISTA@2011 2011
Tipologia de um ataque aplicacional 14 Network Layer OS Layer Application Network Layer Layer OS Layer Custom Back-end Application Application Database Layer (End-user Application Traffic interface) FISTA@2011 2011
Tipologia de um ataque aplicacional 14 Network Layer OS Layer Application Network Layer Layer OS Layer Custom Back-end Application Application Database Layer (End-user Application Traffic interface) FISTA@2011 2011
Tipologia de um ataque aplicacional 14 Network Layer OS Layer Application Network Layer Layer OS Layer Custom Back-end Application Application Database Layer (End-user Application Traffic interface) FISTA@2011 2011
Contexto 16 ¨ Falta de percepção da segurança ¤as (algumas) organizações não investem o suficiente em segurança (ou investem incorretamente) ¤programadores não percebem os riscos de segurança (ou não podem ou querem perceber) n DISCLAIMER: não estou com isto a insinuar que *TODOS* os programadores são maus ;-) FISTA@2011 2011
Contexto 17 Tendências   Cisco  para   2011 FISTA@2011 2011
Contexto 18 Número médio de vulnerabilidades sérias encontradas em WebApps por sector (fonte: WhiteHat, 2010) FISTA@2011 2011
Contexto 19 Percentagem de ocorrência de problemas de segurança em WebApps (fonte: WhiteHat, 2010) FISTA@2011 2011
... an open community dedicated to enabling organizations to develop, purchase, and maintain applications that can be trusted
OWASP? 21 ¨ Open Web Application Security Project ¤Promove o desenvolvimento seguro de software ¤Orientado para o desenvolvimento de serviços baseados na web ¤Focado principalmente em aspectos de desenvolvimento do que em web-design ¤Um fórum aberto para discussão ¤Um recurso gratuito e livre para qualquer equipa de desenvolvimento FISTA@2011 2011
OWASP? 22 ¨ Open Web Application Security Project ¤ Organizaçãosem fins lucrativos, orientada para esforço voluntário n Todos os membros são voluntários n Todo o trabalho é “doado” por patrocinadores ¤ Oferecer recursos livres para a comunidade n Publicações, Artigos, Normas n Software de Testes e de Formação n Chapters Locais & Mailing Lists ¤ Suportada através de patrocínios n Suporte de empresas através de patrocínios financeiros ou de projectos n Patrocínios pessoais por parte dos membros FISTA@2011 2011
OWASP 23 FISTA@2011 2011
OWASP 24 FISTA@2011 2011
OWASP? 25 FISTA@2011 2011
OWASP? 26 ¨ Top 10 Web Application Security Risks/ Vulnerabilities ¤Uma lista dos 10 aspectos de segurança mais críticos ¤Actualizado numa base anual ¤Crescente aceitação pela indústria n Federal Trade Commission (US Gov) n US Defense Information Systems Agency n VISA (Cardholder Information Security Program) ¨ Está a ser adoptado como um standard de segurança para aplicações web FISTA@2011 2011
OWASP? 27 h3p://www.owasp.org/index.php/Top_10 FISTA@2011 2011
OWASP 28 FISTA@2011 2011
PT.OWASP 29 ¨ … alguns dados ¨ Membros (ML) ¤~90 membros ¨ Web-site ¤http://www.owasp.org/index.php/Portuguese ¨ Mailling-List ¤owasp-portuguese@lists.owasp.org FISTA@2011 2011
História e Actividade 30 ¨ 2007 ¤ Nasce o chapter português ¤ Actividade quase nula ¨ 2008 ¤ OWASP EU Summit 08 ¤ Albufeira, Algarve, Portugal ¨ 2009 ¤ owasp@IPCB (Castelo Branco), owasp@IPViseu (Viseu), owasp@UBI (Covilhã) ¤ IBWAS’09, Madrid ¨ 2010 ¤ owasp@ISCTE-IUL ¤ Samy Kamkar, How I met Your Girlfriend, Lisboa ¤ IBWAS’10, Lisboa ¨ 2011 ¤ OWASP SUMMIT 2011, Torres Vedras, 8th - 11th February FISTA@2011 2011
OWASP EU SUMMIT 2008 31 ¨ OWASP EU SUMMIT 2008 ¤1 semana, +100 pessoas (de todo o Mundo) ¤Apresentação de Projectos ¤Sessões de Trabalho ¤Formação ¤+ 1 dia de Demo na UAlg FISTA@2011 2011
IBWAS’09 32 ¨ 1st. OWASP Iberic Web App Sec 2009 ¨ Dezembro 2009 ¤Universidade Politécnica de Madrid ¤Speakers, entre os quais Bruce Schneier FISTA@2011 2011
Samy Kamkar - Lisboa 33 ¨ Sobre ¤ http://samy.pl ¤ @samykamkar ¤ desenvolveu 1º worm XSS para o MySpace n 1M utilizadores infectados < 24h ¤ co-fundador da Fonality, Inc. n produtos de IP PBX “think bad, do good” ¨ How I met Your Girlfriend ¤ BlackHat 2010 - LV, USA ¤ conjunto de novos ataques descobertos, executados através da Web, com o objectivo de conhecer a vossa namorada ;-) ¨ Integrado numa Tour Europeia patrocinada pela OWASP FISTA@2011 2011
IBWAS’10 34 ¨ 2nd. OWASP Ibero-American Web App Sec 2010 ¨ Dezembro 2010 ¤ISCTE-IUL n Sessões Técnicas/Profissionais n Sessões de Research/Académicas ¤http://www.ibwas.com FISTA@2011 2011
OWASP SUMMIT 2011 35 FISTA@2011 2011
OWASP 36 ¨ Recomendações (Universidades, CI) ¤Inclusão das boas práticas de segurança de aplicações no conteúdo dos cursos ou UCs ¤Definição de cursos avançados para formação de mão-de-obra na área ¤Fomentar e financiar investigação sobre segurança de aplicações ¤Promover a formação de profissionais capazes de actuar com ética e responsabilidade FISTA@2011 2011
OWASP 37 ¨ O que pode a OWASP oferecer ¤know-how ¤ferramentas ¤Global Conference Committee ¤Global Education Committee ¤OWASP Academic Portal FISTA@2011 2011
Finalmente... 38 ¨ … juntem-se a nós. ¨ Participem! ¤Mailing List ¤Blog ¤Reuniões ¤Eventos ¤Projectos ¤Ideias ¨ Informação útil ¤http://www.owasp.org ¤http://www.owasp.org/index.php/Portuguese FISTA@2011 2011
Segurança * Software Universidade * Empresa Visão da Segurança na Indústria de Software ISCTE-IUL/ISTA/ADETTI-IUL Carlos Serrão Instituto Superior de Ciências do Trabalho e da Empresa carlos.serrao@iscte.pt Lisbon University Institute carlos.j.serrao@gmail.com IUL School of Technology and Architecture ADETTI-IUL http://www.carlosserrao.net http://blog.carlosserrao.net http://www.linkedin.com/in/carlosserrao

Recomendados

A OWASP e a Segurança Aplicacional para a Web
A OWASP e a Segurança Aplicacional para a WebA OWASP e a Segurança Aplicacional para a Web
A OWASP e a Segurança Aplicacional para a WebCarlos Serrao
 
To DRM or not to DRM?
To DRM or not to DRM?To DRM or not to DRM?
To DRM or not to DRM?Carlos Serrao
 
DRM: A Skeptics View
DRM: A Skeptics ViewDRM: A Skeptics View
DRM: A Skeptics ViewLeigh Dodds
 
Digital Rights Management for Ebooks
Digital Rights Management for EbooksDigital Rights Management for Ebooks
Digital Rights Management for EbookseBOUND Canada
 
DRM, Digital Content, and the Consumer Experience: Lessons Learned From The M...
DRM, Digital Content, and the Consumer Experience: Lessons Learned From The M...DRM, Digital Content, and the Consumer Experience: Lessons Learned From The M...
DRM, Digital Content, and the Consumer Experience: Lessons Learned From The M...Kirk Biglione
 
Digital rights management (drm) and you
Digital rights management (drm) and youDigital rights management (drm) and you
Digital rights management (drm) and youSaneMaly
 
Digital Rights Management PPT
Digital Rights Management PPTDigital Rights Management PPT
Digital Rights Management PPTSuresh Khutale
 
DRM Powerpoint
DRM PowerpointDRM Powerpoint
DRM Powerpointguest33ff82
 

Recomendados

A OWASP e a Segurança Aplicacional para a Web
A OWASP e a Segurança Aplicacional para a WebA OWASP e a Segurança Aplicacional para a Web
A OWASP e a Segurança Aplicacional para a WebCarlos Serrao
 
To DRM or not to DRM?
To DRM or not to DRM?To DRM or not to DRM?
To DRM or not to DRM?Carlos Serrao
 
DRM: A Skeptics View
DRM: A Skeptics ViewDRM: A Skeptics View
DRM: A Skeptics ViewLeigh Dodds
 
Digital Rights Management for Ebooks
Digital Rights Management for EbooksDigital Rights Management for Ebooks
Digital Rights Management for EbookseBOUND Canada
 
DRM, Digital Content, and the Consumer Experience: Lessons Learned From The M...
DRM, Digital Content, and the Consumer Experience: Lessons Learned From The M...DRM, Digital Content, and the Consumer Experience: Lessons Learned From The M...
DRM, Digital Content, and the Consumer Experience: Lessons Learned From The M...Kirk Biglione
 
Digital rights management (drm) and you
Digital rights management (drm) and youDigital rights management (drm) and you
Digital rights management (drm) and youSaneMaly
 
Digital Rights Management PPT
Digital Rights Management PPTDigital Rights Management PPT
Digital Rights Management PPTSuresh Khutale
 
DRM Powerpoint
DRM PowerpointDRM Powerpoint
DRM Powerpointguest33ff82
 
OWASP e o desenvolvimento seguro de aplicações para a Web
OWASP e o desenvolvimento seguro de aplicações para a WebOWASP e o desenvolvimento seguro de aplicações para a Web
OWASP e o desenvolvimento seguro de aplicações para a WebCarlos Serrao
 
Seguranca web testday2012
Seguranca web testday2012Seguranca web testday2012
Seguranca web testday2012Marcio Cunha
 
Análise de Vulnerabilidades em Aplicações na Web Nacional
Análise de Vulnerabilidades em Aplicações na Web NacionalAnálise de Vulnerabilidades em Aplicações na Web Nacional
Análise de Vulnerabilidades em Aplicações na Web NacionalCarlos Serrao
 
(1) Por que Seguranca de Aplicacoes Web?
(1) Por que Seguranca de Aplicacoes Web?(1) Por que Seguranca de Aplicacoes Web?
(1) Por que Seguranca de Aplicacoes Web?KeySupport Consultoria e Informática Ltda
 
(1) Por que Seguranca de Aplicacoes Web?
(1) Por que Seguranca de Aplicacoes Web?(1) Por que Seguranca de Aplicacoes Web?
(1) Por que Seguranca de Aplicacoes Web?Eduardo Lanna
 
Gestão de Risco de Ti | Andracom
Gestão de Risco de Ti | AndracomGestão de Risco de Ti | Andracom
Gestão de Risco de Ti | AndracomAndracom Solutions
 
Análise de Ameaças Cibernéticas em Protocolos Industriais
Análise de Ameaças Cibernéticas em Protocolos Industriais Análise de Ameaças Cibernéticas em Protocolos Industriais
Análise de Ameaças Cibernéticas em Protocolos Industriais Alexandre Freire
 
181554969 protecao-seguranca
181554969 protecao-seguranca181554969 protecao-seguranca
181554969 protecao-segurancaMarco Guimarães
 
Deep security
Deep security Deep security
Deep security Andre Takegawa
 
NetSol - Next Generation Firewall
NetSol - Next Generation FirewallNetSol - Next Generation Firewall
NetSol - Next Generation FirewallJorge Quintao
 
Apresentacao gptic
Apresentacao gpticApresentacao gptic
Apresentacao gpticAnderson Gouveia
 
Aula 1
Aula 1Aula 1
Aula 1Thomas Cristanis
 
Você confia nas suas aplicações mobile?
Você confia nas suas aplicações mobile?Você confia nas suas aplicações mobile?
Você confia nas suas aplicações mobile?Conviso Application Security
 
Windows Azure no Mundo Real para IT-Pros
Windows Azure no Mundo Real para IT-ProsWindows Azure no Mundo Real para IT-Pros
Windows Azure no Mundo Real para IT-ProsMarkus Christen
 
Unidade 1.1 Introdução ao Software
Unidade 1.1 Introdução ao SoftwareUnidade 1.1 Introdução ao Software
Unidade 1.1 Introdução ao SoftwareJuan Carlos Lamarão
 
Seguranca web Testday2012
Seguranca web Testday2012Seguranca web Testday2012
Seguranca web Testday2012Marcio Cunha
 
OWASP@ ISCTE-IUL, Segurança em PHP
OWASP@ ISCTE-IUL, Segurança em PHPOWASP@ ISCTE-IUL, Segurança em PHP
OWASP@ ISCTE-IUL, Segurança em PHPCarlos Serrao
 
Apresentação 1.0
Apresentação 1.0Apresentação 1.0
Apresentação 1.0Megatiro
 
AULA 07 - MODELO OSI P2 redes de computadores.pdf
AULA 07 - MODELO OSI P2 redes de computadores.pdfAULA 07 - MODELO OSI P2 redes de computadores.pdf
AULA 07 - MODELO OSI P2 redes de computadores.pdfMatheusWillami
 
OWASP @ ISCTE-IUL, OWASP Top 10 2010
OWASP @ ISCTE-IUL, OWASP Top 10 2010OWASP @ ISCTE-IUL, OWASP Top 10 2010
OWASP @ ISCTE-IUL, OWASP Top 10 2010Carlos Serrao
 
Prevenir o "ransomware" - Guia da OWASP para prevenção do "ransomware"
Prevenir o "ransomware" - Guia da OWASP para prevenção do "ransomware"Prevenir o "ransomware" - Guia da OWASP para prevenção do "ransomware"
Prevenir o "ransomware" - Guia da OWASP para prevenção do "ransomware"Carlos Serrao
 
OWASP Mobile Top 10 - Principais Riscos no Desenvolvimento Seguro de Aplicaçõ...
OWASP Mobile Top 10 - Principais Riscos no Desenvolvimento Seguro de Aplicaçõ...OWASP Mobile Top 10 - Principais Riscos no Desenvolvimento Seguro de Aplicaçõ...
OWASP Mobile Top 10 - Principais Riscos no Desenvolvimento Seguro de Aplicaçõ...Carlos Serrao
 

Mais conteúdo relacionado

Semelhante a OWASP presentation on FISTA2011

OWASP e o desenvolvimento seguro de aplicações para a Web
OWASP e o desenvolvimento seguro de aplicações para a WebOWASP e o desenvolvimento seguro de aplicações para a Web
OWASP e o desenvolvimento seguro de aplicações para a WebCarlos Serrao
 
Seguranca web testday2012
Seguranca web testday2012Seguranca web testday2012
Seguranca web testday2012Marcio Cunha
 
Análise de Vulnerabilidades em Aplicações na Web Nacional
Análise de Vulnerabilidades em Aplicações na Web NacionalAnálise de Vulnerabilidades em Aplicações na Web Nacional
Análise de Vulnerabilidades em Aplicações na Web NacionalCarlos Serrao
 
(1) Por que Seguranca de Aplicacoes Web?
(1) Por que Seguranca de Aplicacoes Web?(1) Por que Seguranca de Aplicacoes Web?
(1) Por que Seguranca de Aplicacoes Web?Eduardo Lanna
 
Gestão de Risco de Ti | Andracom
Gestão de Risco de Ti | AndracomGestão de Risco de Ti | Andracom
Gestão de Risco de Ti | AndracomAndracom Solutions
 
Análise de Ameaças Cibernéticas em Protocolos Industriais
Análise de Ameaças Cibernéticas em Protocolos Industriais Análise de Ameaças Cibernéticas em Protocolos Industriais
Análise de Ameaças Cibernéticas em Protocolos Industriais Alexandre Freire
 
181554969 protecao-seguranca
181554969 protecao-seguranca181554969 protecao-seguranca
181554969 protecao-segurancaMarco Guimarães
 
NetSol - Next Generation Firewall
NetSol - Next Generation FirewallNetSol - Next Generation Firewall
NetSol - Next Generation FirewallJorge Quintao
 
Windows Azure no Mundo Real para IT-Pros
Windows Azure no Mundo Real para IT-ProsWindows Azure no Mundo Real para IT-Pros
Windows Azure no Mundo Real para IT-ProsMarkus Christen
 
Unidade 1.1 Introdução ao Software
Unidade 1.1 Introdução ao SoftwareUnidade 1.1 Introdução ao Software
Unidade 1.1 Introdução ao SoftwareJuan Carlos Lamarão
 
Seguranca web Testday2012
Seguranca web Testday2012Seguranca web Testday2012
Seguranca web Testday2012Marcio Cunha
 
OWASP@ ISCTE-IUL, Segurança em PHP
OWASP@ ISCTE-IUL, Segurança em PHPOWASP@ ISCTE-IUL, Segurança em PHP
OWASP@ ISCTE-IUL, Segurança em PHPCarlos Serrao
 
Apresentação 1.0
Apresentação 1.0Apresentação 1.0
Apresentação 1.0Megatiro
 
AULA 07 - MODELO OSI P2 redes de computadores.pdf
AULA 07 - MODELO OSI P2 redes de computadores.pdfAULA 07 - MODELO OSI P2 redes de computadores.pdf
AULA 07 - MODELO OSI P2 redes de computadores.pdfMatheusWillami
 
OWASP @ ISCTE-IUL, OWASP Top 10 2010
OWASP @ ISCTE-IUL, OWASP Top 10 2010OWASP @ ISCTE-IUL, OWASP Top 10 2010
OWASP @ ISCTE-IUL, OWASP Top 10 2010Carlos Serrao
 

Semelhante a OWASP presentation on FISTA2011 (20)

OWASP e o desenvolvimento seguro de aplicações para a Web
OWASP e o desenvolvimento seguro de aplicações para a WebOWASP e o desenvolvimento seguro de aplicações para a Web
OWASP e o desenvolvimento seguro de aplicações para a Web
 
Seguranca web testday2012
Seguranca web testday2012Seguranca web testday2012
Seguranca web testday2012
 
Análise de Vulnerabilidades em Aplicações na Web Nacional
Análise de Vulnerabilidades em Aplicações na Web NacionalAnálise de Vulnerabilidades em Aplicações na Web Nacional
Análise de Vulnerabilidades em Aplicações na Web Nacional
 
(1) Por que Seguranca de Aplicacoes Web?
(1) Por que Seguranca de Aplicacoes Web?(1) Por que Seguranca de Aplicacoes Web?
(1) Por que Seguranca de Aplicacoes Web?
 
(1) Por que Seguranca de Aplicacoes Web?
(1) Por que Seguranca de Aplicacoes Web?(1) Por que Seguranca de Aplicacoes Web?
(1) Por que Seguranca de Aplicacoes Web?
 
Gestão de Risco de Ti | Andracom
Gestão de Risco de Ti | AndracomGestão de Risco de Ti | Andracom
Gestão de Risco de Ti | Andracom
 
Análise de Ameaças Cibernéticas em Protocolos Industriais
Análise de Ameaças Cibernéticas em Protocolos Industriais Análise de Ameaças Cibernéticas em Protocolos Industriais
Análise de Ameaças Cibernéticas em Protocolos Industriais
 
181554969 protecao-seguranca
181554969 protecao-seguranca181554969 protecao-seguranca
181554969 protecao-seguranca
 
Deep security
Deep security Deep security
Deep security
 
NetSol - Next Generation Firewall
NetSol - Next Generation FirewallNetSol - Next Generation Firewall
NetSol - Next Generation Firewall
 
Apresentacao gptic
Apresentacao gpticApresentacao gptic
Apresentacao gptic
 
Aula 1
Aula 1Aula 1
Aula 1
 
Você confia nas suas aplicações mobile?
Você confia nas suas aplicações mobile?Você confia nas suas aplicações mobile?
Você confia nas suas aplicações mobile?
 
Windows Azure no Mundo Real para IT-Pros
Windows Azure no Mundo Real para IT-ProsWindows Azure no Mundo Real para IT-Pros
Windows Azure no Mundo Real para IT-Pros
 
Unidade 1.1 Introdução ao Software
Unidade 1.1 Introdução ao SoftwareUnidade 1.1 Introdução ao Software
Unidade 1.1 Introdução ao Software
 
Seguranca web Testday2012
Seguranca web Testday2012Seguranca web Testday2012
Seguranca web Testday2012
 
OWASP@ ISCTE-IUL, Segurança em PHP
OWASP@ ISCTE-IUL, Segurança em PHPOWASP@ ISCTE-IUL, Segurança em PHP
OWASP@ ISCTE-IUL, Segurança em PHP
 
Apresentação 1.0
Apresentação 1.0Apresentação 1.0
Apresentação 1.0
 
AULA 07 - MODELO OSI P2 redes de computadores.pdf
AULA 07 - MODELO OSI P2 redes de computadores.pdfAULA 07 - MODELO OSI P2 redes de computadores.pdf
AULA 07 - MODELO OSI P2 redes de computadores.pdf
 
OWASP @ ISCTE-IUL, OWASP Top 10 2010
OWASP @ ISCTE-IUL, OWASP Top 10 2010OWASP @ ISCTE-IUL, OWASP Top 10 2010
OWASP @ ISCTE-IUL, OWASP Top 10 2010
 

Mais de Carlos Serrao

Prevenir o "ransomware" - Guia da OWASP para prevenção do "ransomware"
Prevenir o "ransomware" - Guia da OWASP para prevenção do "ransomware"Prevenir o "ransomware" - Guia da OWASP para prevenção do "ransomware"
Prevenir o "ransomware" - Guia da OWASP para prevenção do "ransomware"Carlos Serrao
 
OWASP Mobile Top 10 - Principais Riscos no Desenvolvimento Seguro de Aplicaçõ...
OWASP Mobile Top 10 - Principais Riscos no Desenvolvimento Seguro de Aplicaçõ...OWASP Mobile Top 10 - Principais Riscos no Desenvolvimento Seguro de Aplicaçõ...
OWASP Mobile Top 10 - Principais Riscos no Desenvolvimento Seguro de Aplicaçõ...Carlos Serrao
 
Vamos tirar uma selfie? [... como a privacidade morreu e ninguém nos avisou]
Vamos tirar uma selfie? [... como a privacidade morreu e ninguém nos avisou]Vamos tirar uma selfie? [... como a privacidade morreu e ninguém nos avisou]
Vamos tirar uma selfie? [... como a privacidade morreu e ninguém nos avisou]Carlos Serrao
 
Segurança e Privacidade em Redes Sociais
Segurança e Privacidade em Redes SociaisSegurança e Privacidade em Redes Sociais
Segurança e Privacidade em Redes SociaisCarlos Serrao
 
Segurança e Privacidade em Redes Sociais
Segurança e Privacidade em Redes SociaisSegurança e Privacidade em Redes Sociais
Segurança e Privacidade em Redes SociaisCarlos Serrao
 
Principios básicos de segurança on-line
Principios básicos de segurança on-linePrincipios básicos de segurança on-line
Principios básicos de segurança on-lineCarlos Serrao
 
Segurança e Privacidade em Redes Sociais
Segurança e Privacidade em Redes SociaisSegurança e Privacidade em Redes Sociais
Segurança e Privacidade em Redes SociaisCarlos Serrao
 
OWASP, PT.OWASP, IBWAS'10 & Cia.
OWASP, PT.OWASP, IBWAS'10 & Cia.OWASP, PT.OWASP, IBWAS'10 & Cia.
OWASP, PT.OWASP, IBWAS'10 & Cia.Carlos Serrao
 
Owasp@iscte iul ferramentas-analise_vulnerabilidades
Owasp@iscte iul ferramentas-analise_vulnerabilidadesOwasp@iscte iul ferramentas-analise_vulnerabilidades
Owasp@iscte iul ferramentas-analise_vulnerabilidadesCarlos Serrao
 
OWASP @ ISCTE-IUL - OWASP Top 10 (v2010)
OWASP @ ISCTE-IUL - OWASP Top 10 (v2010)OWASP @ ISCTE-IUL - OWASP Top 10 (v2010)
OWASP @ ISCTE-IUL - OWASP Top 10 (v2010)Carlos Serrao
 
OWASP @ ISCTE-IUL, Criptografia em PHP
OWASP @ ISCTE-IUL, Criptografia em PHPOWASP @ ISCTE-IUL, Criptografia em PHP
OWASP @ ISCTE-IUL, Criptografia em PHPCarlos Serrao
 
OWASP @ ISCTE-IUL, OWASP e OWASP Portugal
OWASP @ ISCTE-IUL, OWASP e OWASP PortugalOWASP @ ISCTE-IUL, OWASP e OWASP Portugal
OWASP @ ISCTE-IUL, OWASP e OWASP PortugalCarlos Serrao
 
aula de PED - Academia ISCTE-IUL 2010
aula de PED - Academia ISCTE-IUL 2010aula de PED - Academia ISCTE-IUL 2010
aula de PED - Academia ISCTE-IUL 2010Carlos Serrao
 
Apresentação OWASP - UBI, Covilhã
Apresentação OWASP - UBI, CovilhãApresentação OWASP - UBI, Covilhã
Apresentação OWASP - UBI, CovilhãCarlos Serrao
 
cTIC2009 - Segurança em Aplicações Web-based e RIA
cTIC2009 - Segurança em Aplicações Web-based e RIAcTIC2009 - Segurança em Aplicações Web-based e RIA
cTIC2009 - Segurança em Aplicações Web-based e RIACarlos Serrao
 
Apresentação do OWASP Portugal
Apresentação do OWASP PortugalApresentação do OWASP Portugal
Apresentação do OWASP PortugalCarlos Serrao
 

Mais de Carlos Serrao (20)

Prevenir o "ransomware" - Guia da OWASP para prevenção do "ransomware"
Prevenir o "ransomware" - Guia da OWASP para prevenção do "ransomware"Prevenir o "ransomware" - Guia da OWASP para prevenção do "ransomware"
Prevenir o "ransomware" - Guia da OWASP para prevenção do "ransomware"
 
OWASP Mobile Top 10 - Principais Riscos no Desenvolvimento Seguro de Aplicaçõ...
OWASP Mobile Top 10 - Principais Riscos no Desenvolvimento Seguro de Aplicaçõ...OWASP Mobile Top 10 - Principais Riscos no Desenvolvimento Seguro de Aplicaçõ...
OWASP Mobile Top 10 - Principais Riscos no Desenvolvimento Seguro de Aplicaçõ...
 
OWASP Mobile Top 10
OWASP Mobile Top 10OWASP Mobile Top 10
OWASP Mobile Top 10
 
Vamos tirar uma selfie? [... como a privacidade morreu e ninguém nos avisou]
Vamos tirar uma selfie? [... como a privacidade morreu e ninguém nos avisou]Vamos tirar uma selfie? [... como a privacidade morreu e ninguém nos avisou]
Vamos tirar uma selfie? [... como a privacidade morreu e ninguém nos avisou]
 
Segurança e Privacidade em Redes Sociais
Segurança e Privacidade em Redes SociaisSegurança e Privacidade em Redes Sociais
Segurança e Privacidade em Redes Sociais
 
Segurança e Privacidade em Redes Sociais
Segurança e Privacidade em Redes SociaisSegurança e Privacidade em Redes Sociais
Segurança e Privacidade em Redes Sociais
 
Principios básicos de segurança on-line
Principios básicos de segurança on-linePrincipios básicos de segurança on-line
Principios básicos de segurança on-line
 
Segurança e Privacidade em Redes Sociais
Segurança e Privacidade em Redes SociaisSegurança e Privacidade em Redes Sociais
Segurança e Privacidade em Redes Sociais
 
OWASP, PT.OWASP, IBWAS'10 & Cia.
OWASP, PT.OWASP, IBWAS'10 & Cia.OWASP, PT.OWASP, IBWAS'10 & Cia.
OWASP, PT.OWASP, IBWAS'10 & Cia.
 
Is the Web at Risk?
Is the Web at Risk?Is the Web at Risk?
Is the Web at Risk?
 
Owasp@iscte iul ferramentas-analise_vulnerabilidades
Owasp@iscte iul ferramentas-analise_vulnerabilidadesOwasp@iscte iul ferramentas-analise_vulnerabilidades
Owasp@iscte iul ferramentas-analise_vulnerabilidades
 
OWASP @ ISCTE-IUL - OWASP Top 10 (v2010)
OWASP @ ISCTE-IUL - OWASP Top 10 (v2010)OWASP @ ISCTE-IUL - OWASP Top 10 (v2010)
OWASP @ ISCTE-IUL - OWASP Top 10 (v2010)
 
OWASP @ ISCTE-IUL, Criptografia em PHP
OWASP @ ISCTE-IUL, Criptografia em PHPOWASP @ ISCTE-IUL, Criptografia em PHP
OWASP @ ISCTE-IUL, Criptografia em PHP
 
OWASP @ ISCTE-IUL, OWASP e OWASP Portugal
OWASP @ ISCTE-IUL, OWASP e OWASP PortugalOWASP @ ISCTE-IUL, OWASP e OWASP Portugal
OWASP @ ISCTE-IUL, OWASP e OWASP Portugal
 
aula de PED - Academia ISCTE-IUL 2010
aula de PED - Academia ISCTE-IUL 2010aula de PED - Academia ISCTE-IUL 2010
aula de PED - Academia ISCTE-IUL 2010
 
Apresentação OWASP - UBI, Covilhã
Apresentação OWASP - UBI, CovilhãApresentação OWASP - UBI, Covilhã
Apresentação OWASP - UBI, Covilhã
 
OWASP - Ferramentas
OWASP - FerramentasOWASP - Ferramentas
OWASP - Ferramentas
 
cTIC2009 - Segurança em Aplicações Web-based e RIA
cTIC2009 - Segurança em Aplicações Web-based e RIAcTIC2009 - Segurança em Aplicações Web-based e RIA
cTIC2009 - Segurança em Aplicações Web-based e RIA
 
Apresentação do OWASP Portugal
Apresentação do OWASP PortugalApresentação do OWASP Portugal
Apresentação do OWASP Portugal
 
Welcome to OWASP
Welcome to OWASPWelcome to OWASP
Welcome to OWASP
 

Último

Bullying - Texto e cruzadinha
Bullying - Texto e cruzadinhaBullying - Texto e cruzadinha
Bullying - Texto e cruzadinhaMary Alvarenga
 
E agora?! Já não avalio as atitudes e valores?
E agora?! Já não avalio as atitudes e valores?E agora?! Já não avalio as atitudes e valores?
E agora?! Já não avalio as atitudes e valores?Rosalina Simão Nunes
 
ABRIL VERDE.pptx Slide sobre abril ver 2024
ABRIL VERDE.pptx Slide sobre abril ver 2024ABRIL VERDE.pptx Slide sobre abril ver 2024
ABRIL VERDE.pptx Slide sobre abril ver 2024Jeanoliveira597523
 
Cultura e Literatura indígenas: uma análise do poema “O silêncio”, de Kent Ne...
Cultura e Literatura indígenas: uma análise do poema “O silêncio”, de Kent Ne...Cultura e Literatura indígenas: uma análise do poema “O silêncio”, de Kent Ne...
Cultura e Literatura indígenas: uma análise do poema “O silêncio”, de Kent Ne...ArianeLima50
 
Habilidades Motoras Básicas e Específicas
Habilidades Motoras Básicas e EspecíficasHabilidades Motoras Básicas e Específicas
Habilidades Motoras Básicas e EspecíficasCassio Meira Jr.
 
CRÔNICAS DE UMA TURMA - TURMA DE 9ºANO - EASB
CRÔNICAS DE UMA TURMA - TURMA DE 9ºANO - EASBCRÔNICAS DE UMA TURMA - TURMA DE 9ºANO - EASB
CRÔNICAS DE UMA TURMA - TURMA DE 9ºANO - EASBAline Santana
 
A Arte de Escrever Poemas - Dia das Mães
A Arte de Escrever Poemas - Dia das MãesA Arte de Escrever Poemas - Dia das Mães
A Arte de Escrever Poemas - Dia das MãesMary Alvarenga
 
ANTIGUIDADE CLÁSSICA - Grécia e Roma Antiga
ANTIGUIDADE CLÁSSICA - Grécia e Roma AntigaANTIGUIDADE CLÁSSICA - Grécia e Roma Antiga
ANTIGUIDADE CLÁSSICA - Grécia e Roma AntigaJúlio Sandes
 
Slides Lição 03, Central Gospel, O Arrebatamento, 1Tr24.pptx
Slides Lição 03, Central Gospel, O Arrebatamento, 1Tr24.pptxSlides Lição 03, Central Gospel, O Arrebatamento, 1Tr24.pptx
Slides Lição 03, Central Gospel, O Arrebatamento, 1Tr24.pptxLuizHenriquedeAlmeid6
 
ATIVIDADE AVALIATIVA VOZES VERBAIS 7º ano.pptx
ATIVIDADE AVALIATIVA VOZES VERBAIS 7º ano.pptxATIVIDADE AVALIATIVA VOZES VERBAIS 7º ano.pptx
ATIVIDADE AVALIATIVA VOZES VERBAIS 7º ano.pptxOsnilReis1
 
D9 RECONHECER GENERO DISCURSIVO SPA.pptx
D9 RECONHECER GENERO DISCURSIVO SPA.pptxD9 RECONHECER GENERO DISCURSIVO SPA.pptx
D9 RECONHECER GENERO DISCURSIVO SPA.pptxRonys4
 
02. Informática - Windows 10 apostila completa.pdf
02. Informática - Windows 10 apostila completa.pdf02. Informática - Windows 10 apostila completa.pdf
02. Informática - Windows 10 apostila completa.pdfJorge Andrade
 
Orações subordinadas substantivas (andamento).pptx
Orações subordinadas substantivas (andamento).pptxOrações subordinadas substantivas (andamento).pptx
Orações subordinadas substantivas (andamento).pptxKtiaOliveira68
 
activIDADES CUENTO lobo esta CUENTO CUARTO GRADO
activIDADES CUENTO lobo esta CUENTO CUARTO GRADOactivIDADES CUENTO lobo esta CUENTO CUARTO GRADO
activIDADES CUENTO lobo esta CUENTO CUARTO GRADOcarolinacespedes23
 
Universidade Empreendedora como uma Plataforma para o Bem comum
Universidade Empreendedora como uma Plataforma para o Bem comumUniversidade Empreendedora como uma Plataforma para o Bem comum
Universidade Empreendedora como uma Plataforma para o Bem comumPatrícia de Sá Freire, PhD. Eng.
 
“Sobrou pra mim” - Conto de Ruth Rocha.pptx
“Sobrou pra mim” - Conto de Ruth Rocha.pptx“Sobrou pra mim” - Conto de Ruth Rocha.pptx
“Sobrou pra mim” - Conto de Ruth Rocha.pptxthaisamaral9365923
 
William J. Bennett - O livro das virtudes para Crianças.pdf
William J. Bennett - O livro das virtudes para Crianças.pdfWilliam J. Bennett - O livro das virtudes para Crianças.pdf
William J. Bennett - O livro das virtudes para Crianças.pdfAdrianaCunha84
 
AD2 DIDÁTICA.KARINEROZA.SHAYANNE.BINC.ROBERTA.pptx
AD2 DIDÁTICA.KARINEROZA.SHAYANNE.BINC.ROBERTA.pptxAD2 DIDÁTICA.KARINEROZA.SHAYANNE.BINC.ROBERTA.pptx
AD2 DIDÁTICA.KARINEROZA.SHAYANNE.BINC.ROBERTA.pptxkarinedarozabatista
 

Último (20)

Bullying - Texto e cruzadinha
Bullying - Texto e cruzadinhaBullying - Texto e cruzadinha
Bullying - Texto e cruzadinha
 
E agora?! Já não avalio as atitudes e valores?
E agora?! Já não avalio as atitudes e valores?E agora?! Já não avalio as atitudes e valores?
E agora?! Já não avalio as atitudes e valores?
 
ABRIL VERDE.pptx Slide sobre abril ver 2024
ABRIL VERDE.pptx Slide sobre abril ver 2024ABRIL VERDE.pptx Slide sobre abril ver 2024
ABRIL VERDE.pptx Slide sobre abril ver 2024
 
Cultura e Literatura indígenas: uma análise do poema “O silêncio”, de Kent Ne...
Cultura e Literatura indígenas: uma análise do poema “O silêncio”, de Kent Ne...Cultura e Literatura indígenas: uma análise do poema “O silêncio”, de Kent Ne...
Cultura e Literatura indígenas: uma análise do poema “O silêncio”, de Kent Ne...
 
Habilidades Motoras Básicas e Específicas
Habilidades Motoras Básicas e EspecíficasHabilidades Motoras Básicas e Específicas
Habilidades Motoras Básicas e Específicas
 
CRÔNICAS DE UMA TURMA - TURMA DE 9ºANO - EASB
CRÔNICAS DE UMA TURMA - TURMA DE 9ºANO - EASBCRÔNICAS DE UMA TURMA - TURMA DE 9ºANO - EASB
CRÔNICAS DE UMA TURMA - TURMA DE 9ºANO - EASB
 
A Arte de Escrever Poemas - Dia das Mães
A Arte de Escrever Poemas - Dia das MãesA Arte de Escrever Poemas - Dia das Mães
A Arte de Escrever Poemas - Dia das Mães
 
ANTIGUIDADE CLÁSSICA - Grécia e Roma Antiga
ANTIGUIDADE CLÁSSICA - Grécia e Roma AntigaANTIGUIDADE CLÁSSICA - Grécia e Roma Antiga
ANTIGUIDADE CLÁSSICA - Grécia e Roma Antiga
 
Slides Lição 03, Central Gospel, O Arrebatamento, 1Tr24.pptx
Slides Lição 03, Central Gospel, O Arrebatamento, 1Tr24.pptxSlides Lição 03, Central Gospel, O Arrebatamento, 1Tr24.pptx
Slides Lição 03, Central Gospel, O Arrebatamento, 1Tr24.pptx
 
ATIVIDADE AVALIATIVA VOZES VERBAIS 7º ano.pptx
ATIVIDADE AVALIATIVA VOZES VERBAIS 7º ano.pptxATIVIDADE AVALIATIVA VOZES VERBAIS 7º ano.pptx
ATIVIDADE AVALIATIVA VOZES VERBAIS 7º ano.pptx
 
D9 RECONHECER GENERO DISCURSIVO SPA.pptx
D9 RECONHECER GENERO DISCURSIVO SPA.pptxD9 RECONHECER GENERO DISCURSIVO SPA.pptx
D9 RECONHECER GENERO DISCURSIVO SPA.pptx
 
02. Informática - Windows 10 apostila completa.pdf
02. Informática - Windows 10 apostila completa.pdf02. Informática - Windows 10 apostila completa.pdf
02. Informática - Windows 10 apostila completa.pdf
 
Orações subordinadas substantivas (andamento).pptx
Orações subordinadas substantivas (andamento).pptxOrações subordinadas substantivas (andamento).pptx
Orações subordinadas substantivas (andamento).pptx
 
Bullying, sai pra lá
Bullying, sai pra láBullying, sai pra lá
Bullying, sai pra lá
 
activIDADES CUENTO lobo esta CUENTO CUARTO GRADO
activIDADES CUENTO lobo esta CUENTO CUARTO GRADOactivIDADES CUENTO lobo esta CUENTO CUARTO GRADO
activIDADES CUENTO lobo esta CUENTO CUARTO GRADO
 
Universidade Empreendedora como uma Plataforma para o Bem comum
Universidade Empreendedora como uma Plataforma para o Bem comumUniversidade Empreendedora como uma Plataforma para o Bem comum
Universidade Empreendedora como uma Plataforma para o Bem comum
 
“Sobrou pra mim” - Conto de Ruth Rocha.pptx
“Sobrou pra mim” - Conto de Ruth Rocha.pptx“Sobrou pra mim” - Conto de Ruth Rocha.pptx
“Sobrou pra mim” - Conto de Ruth Rocha.pptx
 
William J. Bennett - O livro das virtudes para Crianças.pdf
William J. Bennett - O livro das virtudes para Crianças.pdfWilliam J. Bennett - O livro das virtudes para Crianças.pdf
William J. Bennett - O livro das virtudes para Crianças.pdf
 
CINEMATICA DE LOS MATERIALES Y PARTICULA
CINEMATICA DE LOS MATERIALES Y PARTICULACINEMATICA DE LOS MATERIALES Y PARTICULA
CINEMATICA DE LOS MATERIALES Y PARTICULA
 
AD2 DIDÁTICA.KARINEROZA.SHAYANNE.BINC.ROBERTA.pptx
AD2 DIDÁTICA.KARINEROZA.SHAYANNE.BINC.ROBERTA.pptxAD2 DIDÁTICA.KARINEROZA.SHAYANNE.BINC.ROBERTA.pptx
AD2 DIDÁTICA.KARINEROZA.SHAYANNE.BINC.ROBERTA.pptx
 

OWASP presentation on FISTA2011

  • 1. Segurança * Software Universidade * Empresa OWASP ISCTE-IUL/ISTA/ADETTI-IUL Carlos Serrão Instituto Superior de Ciências do Trabalho e da Empresa carlos.serrao@iscte.pt Lisbon University Institute carlos.j.serrao@gmail.com IUL School of Technology and Architecture ADETTI-IUL http://www.carlosserrao.net http://blog.carlosserrao.net http://www.linkedin.com/in/carlosserrao
  • 2. 3 e 4 de Maio FI A Forum of ISCTE-IUL School of Technology and Architecture
  • 3. Sobre mim… 3 ¨ {Professor Auxiliar}@ISCTE-IUL/ISTA/DCTI ¨ {R&D, Consultor, PM}@ADETTI-IUL ¤Projectos. EC, Nacionais, Privados. ¨ {Líder}@PT.OWASP ¨ {Author}@* ¤Livros, Artigos, ... ¨ twitter.com/pontocom ¨ pt.linkedin.com/in/carlosserrao FISTA@2011 2011
  • 4. “We wouldn’t have to spend so much time, money, and effort on network security if we didn’t have such bad software security” Viega & McGraw, Building Secure Software, Addison Wesley
  • 5. “the current state of security in commercial software is rather distasteful, marked by embarrassing public reports of vulnerabilities and actual attacks (...) and continual exhortations to customers to perform rudimentary checks and maintenance.” Jim Routh, Beautiful Security, O'Reilly
  • 6. “Software buyers are literally crash test dummies for an industry that is remarkably insulated against liability” David Rice, Geekonomics: The Real Cost of Insecure Software, Addison-Wesley
  • 9.
  • 10.
  • 11.
  • 12. Segurança de Software 11 FISTA@2011 2011
  • 13. Segurança de Software 11 ¨ o software é ubíquo FISTA@2011 2011
  • 14. Segurança de Software 11 ¨ o software é ubíquo ¨ dependemos do software nos diversos aspectos da nossa vida FISTA@2011 2011
  • 15. Segurança de Software 11 ¨ o software é ubíquo ¨ dependemos do software nos diversos aspectos da nossa vida ¨ funções críticas de negócio dependem de software FISTA@2011 2011
  • 16. Segurança de Software 11 ¨ o software é ubíquo ¨ dependemos do software nos diversos aspectos da nossa vida ¨ funções críticas de negócio dependem de software ¨ software está cada vez mais exposto à Internet FISTA@2011 2011
  • 17. Segurança de Software 11 ¨ o software é ubíquo ¨ dependemos do software nos diversos aspectos da nossa vida ¨ funções críticas de negócio dependem de software ¨ software está cada vez mais exposto à Internet ¨ exposição aumentada torna o software visível para terceiros FISTA@2011 2011
  • 18. Segurança de Software 11 ¨ o software é ubíquo ¨ dependemos do software nos diversos aspectos da nossa vida ¨ funções críticas de negócio dependem de software ¨ software está cada vez mais exposto à Internet ¨ exposição aumentada torna o software visível para terceiros ¨ nem todas as pessoas são bem intencionadas FISTA@2011 2011
  • 19. Problema no software 12 FISTA@2011 2011
  • 20. Problema no software 12 Características do software actual FISTA@2011 2011
  • 21. Problema no software 12 Características do software actual ¨ Complexidade ¤ Ataques exploram bugs designados por vulnerabilidades ¤ Estima-se entre 5-50 bugs por 1000 linhas de código ¤ Windows XP 40 milhões de linhas de código FISTA@2011 2011
  • 22. Problema no software 12 Características do software actual ¨ Complexidade ¤ Ataques exploram bugs designados por vulnerabilidades ¤ Estima-se entre 5-50 bugs por 1000 linhas de código ¤ Windows XP 40 milhões de linhas de código ¨ Extensibilidade ¤ O que é o software nos nossos computadores? SO + software em produção + patches + 3rd party DLLs + device drivers + plugins + .... FISTA@2011 2011
  • 23. Problema no software 12 Características do software actual ¨ Complexidade ¤ Ataques exploram bugs designados por vulnerabilidades ¤ Estima-se entre 5-50 bugs por 1000 linhas de código ¤ Windows XP 40 milhões de linhas de código ¨ Extensibilidade ¤ O que é o software nos nossos computadores? SO + software em produção + patches + 3rd party DLLs + device drivers + plugins + .... ¨ Conectividade ¤ Internet (1+ biliões de utilizadores) + sistemas de controlo + PDAs + telemóveis + ... FISTA@2011 2011
  • 24.
  • 26. deficiências inerentes no modelo de defeitos no desenho ou processamento do software (web, implementação de interfaces de SOA, e-mail, etc.) e no modelo software com os utilizadores associado aos protocolos e (humanos ou processos de software) tecnologias usadas defeitos no desenho ou problemas na arquitectura de implementação do processamento do segurança do software input do software defeitos nos componentes de execução do software (middleware, frameworks, SO, etc.) defeitos no desenho ou implementação dos interfaces de software com componentes do ambiente de execução ou da aplicação Defeitos no software provocam vulnerabilidades!
  • 27. Tipologia de um ataque aplicacional 14 Network Layer OS Layer Application Network Layer Layer OS Layer Custom Back-end Application Application Database Layer (End-user Application Traffic interface) FISTA@2011 2011
  • 28. Tipologia de um ataque aplicacional 14 Network Layer OS Layer Application Network Layer Layer OS Layer Custom Back-end Application Application Database Layer (End-user Application Traffic interface) FISTA@2011 2011
  • 29. Tipologia de um ataque aplicacional 14 Network Layer OS Layer Application Network Layer Layer OS Layer Custom Back-end Application Application Database Layer (End-user Application Traffic interface) FISTA@2011 2011
  • 30. Tipologia de um ataque aplicacional 14 Network Layer OS Layer Application Network Layer Layer OS Layer Custom Back-end Application Application Database Layer (End-user Application Traffic interface) FISTA@2011 2011
  • 31.
  • 32. Contexto 16 ¨ Falta de percepção da segurança ¤as (algumas) organizações não investem o suficiente em segurança (ou investem incorretamente) ¤programadores não percebem os riscos de segurança (ou não podem ou querem perceber) n DISCLAIMER: não estou com isto a insinuar que *TODOS* os programadores são maus ;-) FISTA@2011 2011
  • 33. Contexto 17 Tendências   Cisco  para   2011 FISTA@2011 2011
  • 34. Contexto 18 Número médio de vulnerabilidades sérias encontradas em WebApps por sector (fonte: WhiteHat, 2010) FISTA@2011 2011
  • 35. Contexto 19 Percentagem de ocorrência de problemas de segurança em WebApps (fonte: WhiteHat, 2010) FISTA@2011 2011
  • 36. ... an open community dedicated to enabling organizations to develop, purchase, and maintain applications that can be trusted
  • 37. OWASP? 21 ¨ Open Web Application Security Project ¤Promove o desenvolvimento seguro de software ¤Orientado para o desenvolvimento de serviços baseados na web ¤Focado principalmente em aspectos de desenvolvimento do que em web-design ¤Um fórum aberto para discussão ¤Um recurso gratuito e livre para qualquer equipa de desenvolvimento FISTA@2011 2011
  • 38. OWASP? 22 ¨ Open Web Application Security Project ¤ Organizaçãosem fins lucrativos, orientada para esforço voluntário n Todos os membros são voluntários n Todo o trabalho é “doado” por patrocinadores ¤ Oferecer recursos livres para a comunidade n Publicações, Artigos, Normas n Software de Testes e de Formação n Chapters Locais & Mailing Lists ¤ Suportada através de patrocínios n Suporte de empresas através de patrocínios financeiros ou de projectos n Patrocínios pessoais por parte dos membros FISTA@2011 2011
  • 39. OWASP 23 FISTA@2011 2011
  • 40. OWASP 24 FISTA@2011 2011
  • 41. OWASP? 25 FISTA@2011 2011
  • 42. OWASP? 26 ¨ Top 10 Web Application Security Risks/ Vulnerabilities ¤Uma lista dos 10 aspectos de segurança mais críticos ¤Actualizado numa base anual ¤Crescente aceitação pela indústria n Federal Trade Commission (US Gov) n US Defense Information Systems Agency n VISA (Cardholder Information Security Program) ¨ Está a ser adoptado como um standard de segurança para aplicações web FISTA@2011 2011
  • 43. OWASP? 27 h3p://www.owasp.org/index.php/Top_10 FISTA@2011 2011
  • 44. OWASP 28 FISTA@2011 2011
  • 45. PT.OWASP 29 ¨ … alguns dados ¨ Membros (ML) ¤~90 membros ¨ Web-site ¤http://www.owasp.org/index.php/Portuguese ¨ Mailling-List ¤owasp-portuguese@lists.owasp.org FISTA@2011 2011
  • 46. História e Actividade 30 ¨ 2007 ¤ Nasce o chapter português ¤ Actividade quase nula ¨ 2008 ¤ OWASP EU Summit 08 ¤ Albufeira, Algarve, Portugal ¨ 2009 ¤ owasp@IPCB (Castelo Branco), owasp@IPViseu (Viseu), owasp@UBI (Covilhã) ¤ IBWAS’09, Madrid ¨ 2010 ¤ owasp@ISCTE-IUL ¤ Samy Kamkar, How I met Your Girlfriend, Lisboa ¤ IBWAS’10, Lisboa ¨ 2011 ¤ OWASP SUMMIT 2011, Torres Vedras, 8th - 11th February FISTA@2011 2011
  • 47. OWASP EU SUMMIT 2008 31 ¨ OWASP EU SUMMIT 2008 ¤1 semana, +100 pessoas (de todo o Mundo) ¤Apresentação de Projectos ¤Sessões de Trabalho ¤Formação ¤+ 1 dia de Demo na UAlg FISTA@2011 2011
  • 48. IBWAS’09 32 ¨ 1st. OWASP Iberic Web App Sec 2009 ¨ Dezembro 2009 ¤Universidade Politécnica de Madrid ¤Speakers, entre os quais Bruce Schneier FISTA@2011 2011
  • 49. Samy Kamkar - Lisboa 33 ¨ Sobre ¤ http://samy.pl ¤ @samykamkar ¤ desenvolveu 1º worm XSS para o MySpace n 1M utilizadores infectados < 24h ¤ co-fundador da Fonality, Inc. n produtos de IP PBX “think bad, do good” ¨ How I met Your Girlfriend ¤ BlackHat 2010 - LV, USA ¤ conjunto de novos ataques descobertos, executados através da Web, com o objectivo de conhecer a vossa namorada ;-) ¨ Integrado numa Tour Europeia patrocinada pela OWASP FISTA@2011 2011
  • 50. IBWAS’10 34 ¨ 2nd. OWASP Ibero-American Web App Sec 2010 ¨ Dezembro 2010 ¤ISCTE-IUL n Sessões Técnicas/Profissionais n Sessões de Research/Académicas ¤http://www.ibwas.com FISTA@2011 2011
  • 51. OWASP SUMMIT 2011 35 FISTA@2011 2011
  • 52. OWASP 36 ¨ Recomendações (Universidades, CI) ¤Inclusão das boas práticas de segurança de aplicações no conteúdo dos cursos ou UCs ¤Definição de cursos avançados para formação de mão-de-obra na área ¤Fomentar e financiar investigação sobre segurança de aplicações ¤Promover a formação de profissionais capazes de actuar com ética e responsabilidade FISTA@2011 2011
  • 53. OWASP 37 ¨ O que pode a OWASP oferecer ¤know-how ¤ferramentas ¤Global Conference Committee ¤Global Education Committee ¤OWASP Academic Portal FISTA@2011 2011
  • 54. Finalmente... 38 ¨ … juntem-se a nós. ¨ Participem! ¤Mailing List ¤Blog ¤Reuniões ¤Eventos ¤Projectos ¤Ideias ¨ Informação útil ¤http://www.owasp.org ¤http://www.owasp.org/index.php/Portuguese FISTA@2011 2011
  • 55. Segurança * Software Universidade * Empresa Visão da Segurança na Indústria de Software ISCTE-IUL/ISTA/ADETTI-IUL Carlos Serrão Instituto Superior de Ciências do Trabalho e da Empresa carlos.serrao@iscte.pt Lisbon University Institute carlos.j.serrao@gmail.com IUL School of Technology and Architecture ADETTI-IUL http://www.carlosserrao.net http://blog.carlosserrao.net http://www.linkedin.com/in/carlosserrao