Este documento descreve as atividades e objetivos da comunidade OWASP Portugal. Resume que a OWASP é uma comunidade aberta dedicada a melhorar a segurança de software; que o capítulo português tem cerca de 90 membros e realiza eventos regulares como conferências e workshops sobre segurança de aplicações web; e que a OWASP recomenda que universidades e instituições incluam práticas de segurança de software nos currículos e financiem mais investigação sobre o tema.
1. Segurança * Software
Universidade * Empresa
OWASP
ISCTE-IUL/ISTA/ADETTI-IUL Carlos Serrão
Instituto Superior de Ciências do Trabalho e da Empresa carlos.serrao@iscte.pt
Lisbon University Institute carlos.j.serrao@gmail.com
IUL School of Technology and Architecture
ADETTI-IUL http://www.carlosserrao.net
http://blog.carlosserrao.net
http://www.linkedin.com/in/carlosserrao
2. 3 e 4 de Maio
FI A
Forum of ISCTE-IUL
School of Technology
and Architecture
4. “We wouldn’t have to spend so much time,
money, and effort on network security if we
didn’t have such bad software security”
Viega & McGraw, Building Secure Software, Addison
Wesley
5. “the current state of security in commercial
software is rather distasteful, marked by
embarrassing public reports of vulnerabilities
and actual attacks (...) and continual
exhortations to customers to perform
rudimentary checks and maintenance.”
Jim Routh, Beautiful Security, O'Reilly
6. “Software buyers are literally crash test
dummies for an industry that is remarkably
insulated against liability”
David Rice, Geekonomics: The Real Cost of Insecure
Software, Addison-Wesley
14. Segurança de Software
11
¨ o software é ubíquo
¨ dependemos do software nos diversos aspectos
da nossa vida
FISTA@2011 2011
15. Segurança de Software
11
¨ o software é ubíquo
¨ dependemos do software nos diversos aspectos
da nossa vida
¨ funções críticas de negócio dependem de
software
FISTA@2011 2011
16. Segurança de Software
11
¨ o software é ubíquo
¨ dependemos do software nos diversos aspectos
da nossa vida
¨ funções críticas de negócio dependem de
software
¨ software está cada vez mais exposto à Internet
FISTA@2011 2011
17. Segurança de Software
11
¨ o software é ubíquo
¨ dependemos do software nos diversos aspectos
da nossa vida
¨ funções críticas de negócio dependem de
software
¨ software está cada vez mais exposto à Internet
¨ exposição aumentada torna o software visível
para terceiros
FISTA@2011 2011
18. Segurança de Software
11
¨ o software é ubíquo
¨ dependemos do software nos diversos aspectos
da nossa vida
¨ funções críticas de negócio dependem de
software
¨ software está cada vez mais exposto à Internet
¨ exposição aumentada torna o software visível
para terceiros
¨ nem todas as pessoas são bem intencionadas
FISTA@2011 2011
21. Problema no software
12
Características do software actual
¨ Complexidade
¤ Ataques exploram bugs designados por vulnerabilidades
¤ Estima-se entre 5-50 bugs por 1000 linhas de código
¤ Windows XP 40 milhões de linhas de código
FISTA@2011 2011
22. Problema no software
12
Características do software actual
¨ Complexidade
¤ Ataques exploram bugs designados por vulnerabilidades
¤ Estima-se entre 5-50 bugs por 1000 linhas de código
¤ Windows XP 40 milhões de linhas de código
¨ Extensibilidade
¤ O
que é o software nos nossos computadores? SO +
software em produção + patches + 3rd party DLLs +
device drivers + plugins + ....
FISTA@2011 2011
23. Problema no software
12
Características do software actual
¨ Complexidade
¤ Ataques exploram bugs designados por vulnerabilidades
¤ Estima-se entre 5-50 bugs por 1000 linhas de código
¤ Windows XP 40 milhões de linhas de código
¨ Extensibilidade
¤ O
que é o software nos nossos computadores? SO +
software em produção + patches + 3rd party DLLs +
device drivers + plugins + ....
¨ Conectividade
¤ Internet
(1+ biliões de utilizadores) + sistemas de
controlo + PDAs + telemóveis + ...
FISTA@2011 2011
26. deficiências inerentes no modelo de defeitos no desenho ou
processamento do software (web, implementação de interfaces de
SOA, e-mail, etc.) e no modelo software com os utilizadores
associado aos protocolos e (humanos ou processos de software)
tecnologias usadas
defeitos no desenho ou
problemas na arquitectura de implementação do processamento do
segurança do software input do software
defeitos nos componentes de
execução do software (middleware,
frameworks, SO, etc.)
defeitos no desenho ou
implementação dos interfaces de
software com componentes do
ambiente de execução ou da aplicação
Defeitos no
software
provocam
vulnerabilidades!
27. Tipologia de um ataque aplicacional
14
Network Layer
OS Layer
Application
Network Layer Layer
OS Layer Custom
Back-end
Application
Application Database
Layer
(End-user Application Traffic
interface)
FISTA@2011 2011
28. Tipologia de um ataque aplicacional
14
Network Layer
OS Layer
Application
Network Layer Layer
OS Layer Custom
Back-end
Application
Application Database
Layer
(End-user Application Traffic
interface)
FISTA@2011 2011
29. Tipologia de um ataque aplicacional
14
Network Layer
OS Layer
Application
Network Layer Layer
OS Layer Custom
Back-end
Application
Application Database
Layer
(End-user Application Traffic
interface)
FISTA@2011 2011
30. Tipologia de um ataque aplicacional
14
Network Layer
OS Layer
Application
Network Layer Layer
OS Layer Custom
Back-end
Application
Application Database
Layer
(End-user Application Traffic
interface)
FISTA@2011 2011
31.
32. Contexto
16
¨ Falta de percepção da
segurança
¤as (algumas) organizações
não investem o suficiente
em segurança (ou
investem incorretamente)
¤programadores não
percebem os riscos de
segurança (ou não podem
ou querem perceber)
n DISCLAIMER: não estou com
isto a insinuar que *TODOS* os
programadores são maus ;-)
FISTA@2011 2011
33. Contexto
17
Tendências
Cisco
para
2011
FISTA@2011 2011
34. Contexto
18
Número médio de vulnerabilidades sérias encontradas
em WebApps por sector (fonte: WhiteHat, 2010)
FISTA@2011 2011
35. Contexto
19
Percentagem de ocorrência de problemas de segurança em
WebApps (fonte: WhiteHat, 2010)
FISTA@2011 2011
36. ... an open community dedicated to enabling
organizations to develop, purchase, and
maintain applications that can be trusted
37. OWASP?
21
¨ Open Web Application Security Project
¤Promove o desenvolvimento seguro de software
¤Orientado para o desenvolvimento de serviços
baseados na web
¤Focado principalmente em aspectos de
desenvolvimento do que em web-design
¤Um fórum aberto para discussão
¤Um recurso gratuito e livre para qualquer equipa
de desenvolvimento
FISTA@2011 2011
38. OWASP?
22
¨ Open Web Application Security Project
¤ Organizaçãosem fins lucrativos, orientada para
esforço voluntário
n Todos os membros são voluntários
n Todo o trabalho é “doado” por patrocinadores
¤ Oferecer recursos livres para a comunidade
n Publicações, Artigos, Normas
n Software de Testes e de Formação
n Chapters Locais & Mailing Lists
¤ Suportada através de patrocínios
n Suporte de empresas através de patrocínios financeiros ou de
projectos
n Patrocínios pessoais por parte dos membros
FISTA@2011 2011
42. OWASP?
26
¨ Top 10 Web Application Security Risks/
Vulnerabilities
¤Uma lista dos 10 aspectos de segurança mais
críticos
¤Actualizado numa base anual
¤Crescente aceitação pela indústria
n Federal Trade Commission (US Gov)
n US Defense Information Systems Agency
n VISA (Cardholder Information Security Program)
¨ Está a ser adoptado como um standard de
segurança para aplicações web
FISTA@2011 2011
45. PT.OWASP
29
¨ … alguns dados
¨ Membros (ML)
¤~90 membros
¨ Web-site
¤http://www.owasp.org/index.php/Portuguese
¨ Mailling-List
¤owasp-portuguese@lists.owasp.org
FISTA@2011 2011
46. História e Actividade
30
¨ 2007
¤ Nasce o chapter português
¤ Actividade quase nula
¨ 2008
¤ OWASP EU Summit 08
¤ Albufeira, Algarve, Portugal
¨ 2009
¤ owasp@IPCB (Castelo Branco), owasp@IPViseu (Viseu), owasp@UBI
(Covilhã)
¤ IBWAS’09, Madrid
¨ 2010
¤ owasp@ISCTE-IUL
¤ Samy Kamkar, How I met Your Girlfriend, Lisboa
¤ IBWAS’10, Lisboa
¨ 2011
¤ OWASP SUMMIT 2011, Torres Vedras, 8th - 11th February
FISTA@2011 2011
47. OWASP EU SUMMIT 2008
31
¨ OWASP EU SUMMIT 2008
¤1 semana, +100 pessoas (de todo o Mundo)
¤Apresentação de Projectos
¤Sessões de Trabalho
¤Formação
¤+ 1 dia de Demo na UAlg
FISTA@2011 2011
48. IBWAS’09
32
¨ 1st. OWASP Iberic Web App Sec 2009
¨ Dezembro 2009
¤Universidade Politécnica de Madrid
¤Speakers, entre os quais Bruce Schneier
FISTA@2011 2011
49. Samy Kamkar - Lisboa
33
¨ Sobre
¤ http://samy.pl
¤ @samykamkar
¤ desenvolveu 1º worm XSS para
o MySpace
n 1M utilizadores infectados < 24h
¤ co-fundador da Fonality, Inc.
n produtos de IP PBX
“think bad, do good”
¨ How I met Your Girlfriend
¤ BlackHat 2010 - LV, USA
¤ conjunto de novos ataques descobertos, executados
através da Web, com o objectivo de conhecer
a vossa namorada ;-)
¨ Integrado numa Tour Europeia patrocinada pela OWASP
FISTA@2011 2011
50. IBWAS’10
34
¨ 2nd. OWASP Ibero-American Web App Sec 2010
¨ Dezembro 2010
¤ISCTE-IUL
n Sessões Técnicas/Profissionais
n Sessões de Research/Académicas
¤http://www.ibwas.com
FISTA@2011 2011
52. OWASP
36
¨ Recomendações (Universidades, CI)
¤Inclusão das boas práticas de segurança de
aplicações no conteúdo dos cursos ou UCs
¤Definição de cursos avançados para formação de
mão-de-obra na área
¤Fomentar e financiar investigação sobre
segurança de aplicações
¤Promover a formação de profissionais capazes de
actuar com ética e responsabilidade
FISTA@2011 2011
53. OWASP
37
¨ O que pode a OWASP oferecer
¤know-how
¤ferramentas
¤Global Conference Committee
¤Global Education Committee
¤OWASP Academic Portal
FISTA@2011 2011
55. Segurança * Software
Universidade * Empresa
Visão da Segurança na Indústria de Software
ISCTE-IUL/ISTA/ADETTI-IUL Carlos Serrão
Instituto Superior de Ciências do Trabalho e da Empresa carlos.serrao@iscte.pt
Lisbon University Institute carlos.j.serrao@gmail.com
IUL School of Technology and Architecture
ADETTI-IUL http://www.carlosserrao.net
http://blog.carlosserrao.net
http://www.linkedin.com/in/carlosserrao