menos buffer overflows, más sql injections
Embed Size (px)
TRANSCRIPT
- 1. Menos buffer overflows,ms SQL injections
Andrs Riancho Ekoparty 2010
Desayuno de los CIOs
http://www.bonsai-sec.com/
2. [email protected]$ whoami
Fundador @ BonsaiInformation Security
Director of Web Security @ Rapid7
Programador (python!)
Open SourceEvangelist
Con conocimientos en networking, diseo y evasin de IPS
Lder del proyecto open sourcew3af
3. Muchos buffer overflows
En el pasado, servicios como IIS, Apache,Oracle, Sendmail y Bind
han tenido innumerables problemas de seguridad debido a bugs de
seguridad introducidos durante el proceso de desarrollo.
Los equipos de desarrollo que trabajaban en estos proyectos
introducan al cdigo vulnerabilidades de corrupcin de memoria
como:
Stack overflows
Heap overflows
Format strings
Off by one
Esto se deba a falta de conocimiento, desinters de las compaas y
falta de inversin en seguridad.
4. Menos buffer overflows
En la actualidad hay tres factores principales que reducen los
riesgos de ser vulnerables a buffer overflows:
Los equipos de desarrollo de grandes proyectos
han evolucionado e integrado la seguridad en el
desarrollo del software.
Los lenguajes de programacin de ms alto nivel evitan que el
desarrollador introduzca (la mayora)de las vulnerabilidades de
corrupcin de memoria.
Los sistemas operativos modernos implementan ASLR
(Addressspacelayoutrandomization)y NX bit (No eXecute), funciones
que reducen la probabilidad de poder ejecutar cdigoen base a una
vulnerabilidad que haya llegado a un release productivo.
5. Menos buffer overflows
Recuerdan la ltima vez que sufrimos una vulnerabilidad crtica con
la cual fuera posible ejecutar cdigo en IIS?
Fuente: www.exploit-db.com
6. Menos buffer overflows
Y en Apache?
Fuente: www.exploit-db.com
7. Ms SQL injections
Tanto en el pasado como en la actualidad, la gran mayora de las
aplicaciones Web son desarrolladas por equipos que desconocen por
completo los conceptos bsicos de seguridad en aplicaciones.
No se implementan procedimientos de QA
para verificar que el cdigo desarrollado sea
seguro.
Instituciones de todos los tamaos encomiendan el desarrollo de
aplicaciones transaccionales a garage software factories y confan
su seguridad en ellos.
8. Ms SQL injections
Una vez detectada una vulnerabilidad en una aplicacin Web, la
explotacin es trivial en la mayora de los casos.
Los frameworks de desarrollo de aplicaciones Web han mejorado su
seguridad, pero todava se encuentran lejos de ser seguros por
defecto.
Las empresas recin ahora comienzan a tomar conciencia de los
riesgos. En cuanto a seguridad en aplicaciones Web, estamos como en
los 90 comparado con proyectos como IIS y Apache.
9. Ms SQL injections
La minora de las empresas adopta soluciones de seguridad antes de
que ocurra un incidente grave, aunque hay numerosas soluciones
disponibles en el mercado.
Consultora:
Participacin de un experto de seguridad en aplicaciones en las
reuniones de diseo del equipo de desarrollo
Web Application Penetration Tests
CodeReview
Capacitacin a desarrolladores y testers
Seguridad en el ciclo de vida del software
10. Ms SQL injections
Las silverbullets ofrecidos por nuestro proveedor preferido de
software y hardware:
Web Application Security Scanners
StaticCodeAnalyzers
Web Application Firewalls
En manos experimentadas, son de gran ayuda para prevenir las
intrusiones de atacantes con conocimientos medios y hasta quizs
altos.
Insuficientes en su totalidad para reducir el riesgo de
vulnerabilidades en la lgica del negocio asociada a la
aplicacin.
11. Conclusin: Atacando al eslabn ms dbil
12. Preguntas?
13. Preguntas sugeridas
Qu tips de seguridad se deben tener en cuenta a la hora de
desarrollar una aplicacin web?
Cuantasempresasnacionalesconocesquetengan un plan
definidoparadesarrollaraplicaciones Web queincluyaseguridad?
En tuexperiencia, comocalificaras la seguridad de lasaplicaciones
Web de Argentina con respecto a la de otrospaises?
14. Gracias por su atencin!Slides
en:http://www.bonsai-sec.com/blog/