SlideShare uma empresa Scribd logo

Desenvolvimento Seguro de Software - 10o Workshop SegInfo - Apresentação

Clavis Segurança da Informação
Clavis Segurança da Informação

1) O documento discute análise de código e segurança de software, incluindo inspeção de código, programação segura, e análise de vulnerabilidades como buffer overflows e injeção. 2) Também aborda proteção de software através de ofuscação, incorruptibilidade e marca d'água para dificultar engenharia reversa e modificações não autorizadas. 3) Conclui que as falhas de software em infraestruturas críticas aumentam a necessidade de novas regulamentações, serviços de avaliação de

Tecnologia
1 de 38
Baixar para ler offline
AnálisedeCódigoe SegurançadeSoftware Por Davidson Boccardo Data: 23/11/2016
Clavis Segurança da informação www.clavis.com.br Green Hat Segurança da Informação whoami Doutor em Engenharia Elétrica (UNESP/ULL) Instrutor dos cursos de Forense, Testes de Invasão e de Desenvolvimento Seguro, Proteção de Software Coordenador de projetos de pesquisa, orientador de alunos de mestrado/ doutorado MPMQ/PPGI - mais de 50 artigos científicos publicados Entre 2007 e 2009 trabalhou no Software Research Lab da University of Louisiana at Lafayette, na qual se especializou em análise estática e dinâmica de artefatos maliciosos Entre 2010 e 2015 desenvolveu metodologias para o Serviço de Avaliação de Produtos de Software no Laboratório de Informática da Divisão de Metrologia em Tecnologia da Informação e Telecomunicações do Inmetro 02 DAVIDSON RODRIGO BOCCARDO DIRETOR DO GREEN HAT LABS Green Hat Segurança da Informação
Green Hat Segurança da informação www.clavis.com.br Sobre a Green Hat Análise de Segurança Orientada por Dados Análise de Código e Segurança de Software Auditorias Teste de Invasão Forense Computacional • 2009: empresa spin-off corporativa que nasceu a partir de um grupo da Clavis Segurança da Informação • 2010: Framework de Teste de Invasão (FINEP) • 2015: Auditoria de Código-Fonte e Análise Dinâmica • 2016: Análise de Código e Segurança de Software • 2016: Análise de Segurança Orientada por Dados (FAPERJ) Green Hat 01 Auditoria de Código-Fonte Análise dinâmica
Green Hat Segurança da Informação www.clavis.com.br Segurança de Software • A economia e as defesas das nações dependem, em grande parte, da execução de software confiável • Software é onipresente! • afeta todos os aspectos de nossas vidas pessoais e profissionais • Vulnerabilidades de software também são ubíquas, comprometendo: • identidades pessoais • propriedade intelectual • confiança do consumidor • serviços empresariais e operações • infra-estruturas críticas e governo 03
Green Hat Segurança da Informação www.clavis.com.br Falhas crescentes envolvendo software 04 [GIZMODO, 2014] [FINANCIAL TIMES, 2014]
Green Hat Segurança da Informação www.clavis.com.br Falhas crescentes envolvendo software 05 [SLASHDOT, 2012] [REDDIT, 2014] [THEGUARDIAN, 2013]
Green Hat Segurança da Informação www.clavis.com.br Falhas crescentes envolvendo software 06 [NEWYORKTIMES, 2011] [FORBES, 2014]
Green Hat Segurança da Informação www.clavis.com.br Falhas de software são custosas 07 [NEWYORKTIMES, 2014] [THE WALL STREET JORNAL, 2014]
Green Hat Segurança da Informação www.clavis.com.br • Maioria das vulnerabilidades são causadas por erros de programação • 64% das vulnerabilidades da base do NIST NVD • 51% dessas são originadas em erros clássicos como buffer overflows, cross-site scripting, falhas de injeção • Vulnerabilidades mais comuns incluem: • Integer overflow • Buffer overflow • Format string • Autenticação ausente • Autorização ausente ou incorreta • Confiar em entradas não-confiáveis 08Origem das falhas de software
Green Hat Segurança da Informação www.clavis.com.br • Começa com o entendimento de práticas de codificação inseguras e como podem ser exploradas • Projetos inseguros podem levar a “erros intencionais”, ou seja, o código está corretamente implementado, mas o software resultante é vulnerável • Projetos seguros exigem um entendimento dos requisitos de software funcionais e não-funcionais • Codificação segura exige um entendimento específico de cada linguagem de programação 09Desenvolvimento de Software Seguro
Green Hat Segurança da Informação www.clavis.com.br Fontes de Insegurança em Software • Considerações mínimas ou ausentes de segurança durante todo o ciclo de vida do software • Complexidade, mudanças, suposições incorretas • Não pensar como um atacante • Especificações e projetos falhos • Implementação “pobre” das interfaces de software • Interações inesperadas e não-intencionais • Conhecimento inadequado de práticas de codificação segura 10
Green Hat Segurança da Informação www.clavis.com.br 11 • Análise de requisitos de segurança e arquitetura de software • Inspeção de código e programação segura • Análise de fluxo de controle e de dados • Análise de vulnerabilidades (CWE/SANS Top 25, OWASP Top 10) • Análise dinâmica de software e testes funcionais • Proteção de Software • Ofuscação, Incorruptibilidade e Marca d'água Análise de Código e Segurança de Software
Green Hat Segurança da Informação www.clavis.com.br Análise de Requisitos de Segurança e Arquitetura de Software 12 • Requisitos gerais de segurança • Confidencialidade, integridade e disponibilidade • Ambiente de implantação, arquivamento, anti-pirataria • Gerenciamento de sessões, gerenciamento de erros e excessões, gerenciamento de parâmetros de configuração
 • Arquitetura de segurança • Princípios básicos de projeto seguro: redução das superfícies de ataque, falha segura, defesa em profundidade, privilégio mínimo, separação de deveres, etc… • Utilização correta de algoritmos criptográficos e protocolos de segurança
Green Hat Segurança da Informação www.clavis.com.br Inspeção de Código e Programação Segura 13 Análise do Fluxo de Controle: Rastreabilidade de Software
Green Hat Segurança da Informação www.clavis.com.br 14 Inspeção de Código e Programação Segura Análise do Fluxo de Controle: Funcionalidades Escondidas
Green Hat Segurança da Informação www.clavis.com.br 15 Inspeção de Código e Programação Segura Orientações para Codificação Segura
Green Hat Segurança da Informação www.clavis.com.br 16 Um estouro de buffer ocorre quando dados são gravados fora dos limites da memória alocada para uma estrutura de dados específica Inspeção de Código e Programação Segura Análise de Vulnerabilidades: Buffer overflow Origem Destino 16 Bytes Memória Alocada Memória Adjacente Montparnasse derailment [1895]
Green Hat Segurança da Informação www.clavis.com.br 17 Inspeção de Código e Programação Segura Análise de Vulnerabilidades: Buffer overflow • Ocorre quando o limite de buffer é negligenciado e não-verificado • Pode ocorrer em qualquer segmento de memória • Pode ser explorado para modificar: • variável • ponteiro de dados • ponteiro de função • endereço de retorno na pilha
Green Hat Segurança da Informação www.clavis.com.br 18 Inspeção de Código e Programação Segura Análise de Vulnerabilidades: Buffer overflow printf(“Nome:.n"); 
 rc = scanf("%s", registro[idx].nome); if (rc != 1) { printf(“Entrada inválida.n"); exit(1); }
Green Hat Segurança da Informação www.clavis.com.br 19 Inspeção de Código e Programação Segura Análise de Vulnerabilidades: Buffer overflow printf(“Nome:.n"); 
 rc = scanf("%s", registro[idx].nome); if (rc != 1) { printf(“Entrada inválida.n"); exit(1); } Captura até acabar a entrada ou encontrar um espaço
Green Hat Segurança da Informação www.clavis.com.br 20 Inspeção de Código e Programação Segura Análise de Vulnerabilidades: Buffer overflow void* rp; ... printf(“Nome:.n"); rp = fgets(registro[idx].nome, sizeof(registro[idx].nome), stdin); if(rp == NULL) { printf(“Entrada inválida.n"); exit(1); } Captura até acabar a entrada ou atingir o limite do buffer
Green Hat Segurança da Informação www.clavis.com.br 21 Uma entrada de usuário maliciosa é enviada para algum processador: Inspeção de Código e Programação Segura Análise de Vulnerabilidades: Injeção Processador Tipo de Injeção HTML Parser (inc. navegador) Cross-Site Scripting (XSS) Shell OS Command C printf () Format String Banco de Dados SQL Função de acesso a arquivo (fopen()) Pathname
Green Hat Segurança da Informação www.clavis.com.br 22 Inspeção de Código e Programação Segura Análise de Vulnerabilidades: Injeção SQL • Programas devem tomar medidas para garantir que quaisquer dados que cruzem uma fronteira de confiança sejam apropriados e não-malicioso
Green Hat Segurança da Informação www.clavis.com.br 23 Inspeção de Código e Programação Segura Análise de Vulnerabilidades: Injeção SQL boolean isPasswordCorrect(String name, char[] password) throws SQLException, ClassNotFoundException { Connection connection = getConnection(); ... String pwd = new String(password); String sqlString = "SELECT * FROM Users WHERE name = '” + name + "' AND password = '" + pwd + "'"; Statement stmt = connection.createStatement(); ResultSet rs = stmt.executeQuery(sqlString); if (!rs.next()) return false; }
Green Hat Segurança da Informação www.clavis.com.br boolean isPasswordCorrect(String name, char[] password) throws SQLException, ClassNotFoundException { Connection connection = getConnection(); ... String pwd = new String(password); String sqlString = "SELECT * FROM Users WHERE name = '” + name + "' AND password = '" + pwd + "'"; Statement stmt = connection.createStatement(); ResultSet rs = stmt.executeQuery(sqlString); if (!rs.next()) return false; } 24 Inspeção de Código e Programação Segura Análise de Vulnerabilidades: Injeção SQL
Green Hat Segurança da Informação www.clavis.com.br boolean isPasswordCorrect(String name, char[] password) throws SQLException, ClassNotFoundException { Connection connection = getConnection(); ... String pwd = new String(password); String sqlString = "SELECT * FROM Users WHERE name = '” + name + "' AND password = '" + pwd + "'"; Statement stmt = connection.createStatement(); ResultSet rs = stmt.executeQuery(sqlString); if (!rs.next()) return false; } 25 Inspeção de Código e Programação Segura Análise de Vulnerabilidades: Injeção SQL name e password não foram tratados!
Green Hat Segurança da Informação www.clavis.com.br boolean isPasswordCorrect(String name, char[] password) throws SQLException, ClassNotFoundException { Connection connection = getConnection(); ... String pwd = new String(password); String sqlString = "SELECT * FROM Users WHERE name=? AND password=?"; PreparedStatement stmt = connection.prepareStatement(sqlString); stmt.setString(1, name); stmt.setString(2, pwd);
 ResultSet rs = stmt.executeQuery(); if (!rs.next()) { return false; } 26 Inspeção de Código e Programação Segura Análise de Vulnerabilidades: Injeção SQL sanitização da entrada =)
Green Hat Segurança da Informação www.clavis.com.br 27 Inspeção de Código e Programação Segura Análise Dinâmica: Análise do Fluxo de Controle e Dados
Green Hat Segurança da Informação www.clavis.com.br 28 Inspeção de Código e Programação Segura Análise Dinâmica: Propagação de Atributos e Execução Simbólica
Green Hat Segurança da Informação www.clavis.com.br 29 • Resistir à engenharia reversa estática e dinâmica • Resistir à modificações não autorizadas • Resistir à clonagem de software • Resistir ao spoofing • Esconder segredos estáticos e dinâmicos (criação, transmissão, utilização) • Impedir a distribuição de programas “crackeados” • Ofuscação — proteção contra engenharia reversa • Incorruptibilidade — proteção contra modificação/monitoramento • Marca d’água — identificação de autoria e rastreamento de propriedade Proteção de Software
Green Hat Segurança da Informação www.clavis.com.br 30 Ofuscação Marca d’água Incorruptibilidade Proteção de Software
Green Hat Segurança da Informação www.clavis.com.br Ofuscação: movfuscator The M/o/Vfuscator compiles programs into "mov" instructions, and only "mov" instructions. Arithmetic, comparisons, jumps, function calls, and everything else a program needs are all performed through mov operations; there is no self-modifying code, no transport-triggered calculation, and no other form of non-mov cheating 31
Green Hat Segurança da Informação www.clavis.com.br Movfuscator: Grafo de Fluxo de Controle 32
Green Hat Segurança da Informação www.clavis.com.br Incorruptibilidade 33
Green Hat Segurança da Informação www.clavis.com.br Marca d’água e Impressão Digital 34 Como?Para quê?
Green Hat Segurança da Informação www.clavis.com.br Marca d’água e Impressão Digital: CFG 35
Green Hat Segurança da Informação www.clavis.com.br Conclusões • A iminência de falhas de software em infraestruturas críticas, aplicações e serviços aumenta a necessidade de • Novas regulamentações referentes à segurança de software • Serviços, metodologias e ferramentas para avaliação de segurança • Treinamento/conscientização em desenvolvimento seguro 36
Green Hat Segurança da informação www.clavis.com.br Muito Obrigado! 37 davidson@clavis.com.br Davidson R. Boccardo Diretor do Green Hat Labs

Recomendados

Entendendo o Ciclo de Desenvolvimento Seguro
Entendendo o Ciclo de Desenvolvimento SeguroEntendendo o Ciclo de Desenvolvimento Seguro
Entendendo o Ciclo de Desenvolvimento SeguroKleitor Franklint Correa Araujo
 
DevSecOps - Workshop do Bem
DevSecOps - Workshop do BemDevSecOps - Workshop do Bem
DevSecOps - Workshop do BemBruno Dantas
 
DevSecOps - Colocando segurança na esteira
DevSecOps - Colocando segurança na esteiraDevSecOps - Colocando segurança na esteira
DevSecOps - Colocando segurança na esteiraDiego Gabriel Cardoso
 
Palestra: Fundamentos do Desenvolvimento Seguro de Softwares
Palestra: Fundamentos do Desenvolvimento Seguro de SoftwaresPalestra: Fundamentos do Desenvolvimento Seguro de Softwares
Palestra: Fundamentos do Desenvolvimento Seguro de SoftwaresAndre Henrique
 
DevOpsDays Brasilia - DevSecOps: Adotando uma cultura de segurança ágil
DevOpsDays Brasilia - DevSecOps: Adotando uma cultura de segurança ágilDevOpsDays Brasilia - DevSecOps: Adotando uma cultura de segurança ágil
DevOpsDays Brasilia - DevSecOps: Adotando uma cultura de segurança ágilBruno Dantas
 
CNASI 2015 - Desenvolvimento Seguro
CNASI 2015 - Desenvolvimento SeguroCNASI 2015 - Desenvolvimento Seguro
CNASI 2015 - Desenvolvimento SeguroCarlos Eduardo Motta de Castro
 
DevSecOps: Colocando segurança na esteira
DevSecOps: Colocando segurança na esteiraDevSecOps: Colocando segurança na esteira
DevSecOps: Colocando segurança na esteiraDiego Gabriel Cardoso
 
Continuous Compliance and DevSecOps
Continuous Compliance and DevSecOpsContinuous Compliance and DevSecOps
Continuous Compliance and DevSecOpsPuppet
 

Recomendados

Entendendo o Ciclo de Desenvolvimento Seguro
Entendendo o Ciclo de Desenvolvimento SeguroEntendendo o Ciclo de Desenvolvimento Seguro
Entendendo o Ciclo de Desenvolvimento SeguroKleitor Franklint Correa Araujo
 
DevSecOps - Workshop do Bem
DevSecOps - Workshop do BemDevSecOps - Workshop do Bem
DevSecOps - Workshop do BemBruno Dantas
 
DevSecOps - Colocando segurança na esteira
DevSecOps - Colocando segurança na esteiraDevSecOps - Colocando segurança na esteira
DevSecOps - Colocando segurança na esteiraDiego Gabriel Cardoso
 
Palestra: Fundamentos do Desenvolvimento Seguro de Softwares
Palestra: Fundamentos do Desenvolvimento Seguro de SoftwaresPalestra: Fundamentos do Desenvolvimento Seguro de Softwares
Palestra: Fundamentos do Desenvolvimento Seguro de SoftwaresAndre Henrique
 
DevOpsDays Brasilia - DevSecOps: Adotando uma cultura de segurança ágil
DevOpsDays Brasilia - DevSecOps: Adotando uma cultura de segurança ágilDevOpsDays Brasilia - DevSecOps: Adotando uma cultura de segurança ágil
DevOpsDays Brasilia - DevSecOps: Adotando uma cultura de segurança ágilBruno Dantas
 
CNASI 2015 - Desenvolvimento Seguro
CNASI 2015 - Desenvolvimento SeguroCNASI 2015 - Desenvolvimento Seguro
CNASI 2015 - Desenvolvimento SeguroCarlos Eduardo Motta de Castro
 
DevSecOps: Colocando segurança na esteira
DevSecOps: Colocando segurança na esteiraDevSecOps: Colocando segurança na esteira
DevSecOps: Colocando segurança na esteiraDiego Gabriel Cardoso
 
Continuous Compliance and DevSecOps
Continuous Compliance and DevSecOpsContinuous Compliance and DevSecOps
Continuous Compliance and DevSecOpsPuppet
 
Aula 01 - Curso GRATUITO EAD de Desenvolvimento Seguro de Software com Alcyon...
Aula 01 - Curso GRATUITO EAD de Desenvolvimento Seguro de Software com Alcyon...Aula 01 - Curso GRATUITO EAD de Desenvolvimento Seguro de Software com Alcyon...
Aula 01 - Curso GRATUITO EAD de Desenvolvimento Seguro de Software com Alcyon...Alcyon Ferreira de Souza Junior, MSc
 
Cyber Security Maturity Assessment
Cyber Security Maturity Assessment Cyber Security Maturity Assessment
Cyber Security Maturity AssessmentDoreen Loeber
 
Introdução do DEVSECOPS
Introdução do DEVSECOPSIntrodução do DEVSECOPS
Introdução do DEVSECOPSGDGFoz
 
Adversary Emulation Workshop
Adversary Emulation WorkshopAdversary Emulation Workshop
Adversary Emulation Workshopprithaaash
 
Développement sécurisé
Développement sécuriséDéveloppement sécurisé
Développement sécuriséfacemeshfacemesh
 
DevSecOps - CI/CD com Pentest e Análise de Vulnerabilidades
DevSecOps - CI/CD com Pentest e Análise de VulnerabilidadesDevSecOps - CI/CD com Pentest e Análise de Vulnerabilidades
DevSecOps - CI/CD com Pentest e Análise de VulnerabilidadesVagner Rodrigues Fernandes
 
SC conference - Building AppSec Teams
SC conference - Building AppSec TeamsSC conference - Building AppSec Teams
SC conference - Building AppSec TeamsDinis Cruz
 
Security Metrics Program
Security Metrics ProgramSecurity Metrics Program
Security Metrics ProgramCydney Davis
 
Security champions v1.0
Security champions v1.0Security champions v1.0
Security champions v1.0Dinis Cruz
 
Tatil Öncesi Güvenlik Kontrol Listesi.pdf
Tatil Öncesi Güvenlik Kontrol Listesi.pdfTatil Öncesi Güvenlik Kontrol Listesi.pdf
Tatil Öncesi Güvenlik Kontrol Listesi.pdfBGA Cyber Security
 
Purple team strategy_lascon_2016
Purple team strategy_lascon_2016Purple team strategy_lascon_2016
Purple team strategy_lascon_2016Trupti Shiralkar, CISSP
 
Segurança em Desenvolvimento de Software
Segurança em Desenvolvimento de SoftwareSegurança em Desenvolvimento de Software
Segurança em Desenvolvimento de SoftwareConviso Application Security
 
Bsides SP 2022 - EPSS - Final.pptx
Bsides SP 2022 - EPSS - Final.pptxBsides SP 2022 - EPSS - Final.pptx
Bsides SP 2022 - EPSS - Final.pptxClavis Segurança da Informação
 
Cybersecurity
CybersecurityCybersecurity
CybersecuritySanjana Agarwal
 
When Insiders ATT&CK!
When Insiders ATT&CK!When Insiders ATT&CK!
When Insiders ATT&CK!MITRE ATT&CK
 
Cloud Summit Canada com Rodrigo Montoro
Cloud Summit Canada com Rodrigo MontoroCloud Summit Canada com Rodrigo Montoro
Cloud Summit Canada com Rodrigo MontoroClavis Segurança da Informação
 
Building a Next-Generation Security Operations Center (SOC)
Building a Next-Generation Security Operations Center (SOC)Building a Next-Generation Security Operations Center (SOC)
Building a Next-Generation Security Operations Center (SOC)Sqrrl
 
cyberedu_module_4_cybersecurite_organisation_02_2017.pptx
cyberedu_module_4_cybersecurite_organisation_02_2017.pptxcyberedu_module_4_cybersecurite_organisation_02_2017.pptx
cyberedu_module_4_cybersecurite_organisation_02_2017.pptxJean-Michel Razafindrabe
 
Cyber Threat Intelligence
Cyber Threat IntelligenceCyber Threat Intelligence
Cyber Threat Intelligenceseadeloitte
 
Threat Hunting - Moving from the ad hoc to the formal
Threat Hunting - Moving from the ad hoc to the formalThreat Hunting - Moving from the ad hoc to the formal
Threat Hunting - Moving from the ad hoc to the formalPriyanka Aash
 
Big Data e Segurança da Informação - 10o Workshop SegInfo - Apresentação
Big Data e Segurança da Informação - 10o Workshop SegInfo - ApresentaçãoBig Data e Segurança da Informação - 10o Workshop SegInfo - Apresentação
Big Data e Segurança da Informação - 10o Workshop SegInfo - ApresentaçãoClavis Segurança da Informação
 
A maldição do local admin - 10o Workshop SegInfo - Apresentação
A maldição do local admin - 10o Workshop SegInfo - ApresentaçãoA maldição do local admin - 10o Workshop SegInfo - Apresentação
A maldição do local admin - 10o Workshop SegInfo - ApresentaçãoClavis Segurança da Informação
 

Mais conteúdo relacionado

Mais procurados

Aula 01 - Curso GRATUITO EAD de Desenvolvimento Seguro de Software com Alcyon...
Aula 01 - Curso GRATUITO EAD de Desenvolvimento Seguro de Software com Alcyon...Aula 01 - Curso GRATUITO EAD de Desenvolvimento Seguro de Software com Alcyon...
Aula 01 - Curso GRATUITO EAD de Desenvolvimento Seguro de Software com Alcyon...Alcyon Ferreira de Souza Junior, MSc
 
Cyber Security Maturity Assessment
Cyber Security Maturity Assessment Cyber Security Maturity Assessment
Cyber Security Maturity AssessmentDoreen Loeber
 
Introdução do DEVSECOPS
Introdução do DEVSECOPSIntrodução do DEVSECOPS
Introdução do DEVSECOPSGDGFoz
 
Adversary Emulation Workshop
Adversary Emulation WorkshopAdversary Emulation Workshop
Adversary Emulation Workshopprithaaash
 
DevSecOps - CI/CD com Pentest e Análise de Vulnerabilidades
DevSecOps - CI/CD com Pentest e Análise de VulnerabilidadesDevSecOps - CI/CD com Pentest e Análise de Vulnerabilidades
DevSecOps - CI/CD com Pentest e Análise de VulnerabilidadesVagner Rodrigues Fernandes
 
SC conference - Building AppSec Teams
SC conference - Building AppSec TeamsSC conference - Building AppSec Teams
SC conference - Building AppSec TeamsDinis Cruz
 
Security Metrics Program
Security Metrics ProgramSecurity Metrics Program
Security Metrics ProgramCydney Davis
 
Security champions v1.0
Security champions v1.0Security champions v1.0
Security champions v1.0Dinis Cruz
 
Tatil Öncesi Güvenlik Kontrol Listesi.pdf
Tatil Öncesi Güvenlik Kontrol Listesi.pdfTatil Öncesi Güvenlik Kontrol Listesi.pdf
Tatil Öncesi Güvenlik Kontrol Listesi.pdfBGA Cyber Security
 
When Insiders ATT&CK!
When Insiders ATT&CK!When Insiders ATT&CK!
When Insiders ATT&CK!MITRE ATT&CK
 
Building a Next-Generation Security Operations Center (SOC)
Building a Next-Generation Security Operations Center (SOC)Building a Next-Generation Security Operations Center (SOC)
Building a Next-Generation Security Operations Center (SOC)Sqrrl
 
cyberedu_module_4_cybersecurite_organisation_02_2017.pptx
cyberedu_module_4_cybersecurite_organisation_02_2017.pptxcyberedu_module_4_cybersecurite_organisation_02_2017.pptx
cyberedu_module_4_cybersecurite_organisation_02_2017.pptxJean-Michel Razafindrabe
 
Cyber Threat Intelligence
Cyber Threat IntelligenceCyber Threat Intelligence
Cyber Threat Intelligenceseadeloitte
 
Threat Hunting - Moving from the ad hoc to the formal
Threat Hunting - Moving from the ad hoc to the formalThreat Hunting - Moving from the ad hoc to the formal
Threat Hunting - Moving from the ad hoc to the formalPriyanka Aash
 

Mais procurados (20)

Aula 01 - Curso GRATUITO EAD de Desenvolvimento Seguro de Software com Alcyon...
Aula 01 - Curso GRATUITO EAD de Desenvolvimento Seguro de Software com Alcyon...Aula 01 - Curso GRATUITO EAD de Desenvolvimento Seguro de Software com Alcyon...
Aula 01 - Curso GRATUITO EAD de Desenvolvimento Seguro de Software com Alcyon...
 
Cyber Security Maturity Assessment
Cyber Security Maturity Assessment Cyber Security Maturity Assessment
Cyber Security Maturity Assessment
 
Introdução do DEVSECOPS
Introdução do DEVSECOPSIntrodução do DEVSECOPS
Introdução do DEVSECOPS
 
Adversary Emulation Workshop
Adversary Emulation WorkshopAdversary Emulation Workshop
Adversary Emulation Workshop
 
Développement sécurisé
Développement sécuriséDéveloppement sécurisé
Développement sécurisé
 
DevSecOps - CI/CD com Pentest e Análise de Vulnerabilidades
DevSecOps - CI/CD com Pentest e Análise de VulnerabilidadesDevSecOps - CI/CD com Pentest e Análise de Vulnerabilidades
DevSecOps - CI/CD com Pentest e Análise de Vulnerabilidades
 
SC conference - Building AppSec Teams
SC conference - Building AppSec TeamsSC conference - Building AppSec Teams
SC conference - Building AppSec Teams
 
Security Metrics Program
Security Metrics ProgramSecurity Metrics Program
Security Metrics Program
 
Security champions v1.0
Security champions v1.0Security champions v1.0
Security champions v1.0
 
Tatil Öncesi Güvenlik Kontrol Listesi.pdf
Tatil Öncesi Güvenlik Kontrol Listesi.pdfTatil Öncesi Güvenlik Kontrol Listesi.pdf
Tatil Öncesi Güvenlik Kontrol Listesi.pdf
 
Purple team strategy_lascon_2016
Purple team strategy_lascon_2016Purple team strategy_lascon_2016
Purple team strategy_lascon_2016
 
Segurança em Desenvolvimento de Software
Segurança em Desenvolvimento de SoftwareSegurança em Desenvolvimento de Software
Segurança em Desenvolvimento de Software
 
Bsides SP 2022 - EPSS - Final.pptx
Bsides SP 2022 - EPSS - Final.pptxBsides SP 2022 - EPSS - Final.pptx
Bsides SP 2022 - EPSS - Final.pptx
 
Cybersecurity
CybersecurityCybersecurity
Cybersecurity
 
When Insiders ATT&CK!
When Insiders ATT&CK!When Insiders ATT&CK!
When Insiders ATT&CK!
 
Cloud Summit Canada com Rodrigo Montoro
Cloud Summit Canada com Rodrigo MontoroCloud Summit Canada com Rodrigo Montoro
Cloud Summit Canada com Rodrigo Montoro
 
Building a Next-Generation Security Operations Center (SOC)
Building a Next-Generation Security Operations Center (SOC)Building a Next-Generation Security Operations Center (SOC)
Building a Next-Generation Security Operations Center (SOC)
 
cyberedu_module_4_cybersecurite_organisation_02_2017.pptx
cyberedu_module_4_cybersecurite_organisation_02_2017.pptxcyberedu_module_4_cybersecurite_organisation_02_2017.pptx
cyberedu_module_4_cybersecurite_organisation_02_2017.pptx
 
Cyber Threat Intelligence
Cyber Threat IntelligenceCyber Threat Intelligence
Cyber Threat Intelligence
 
Threat Hunting - Moving from the ad hoc to the formal
Threat Hunting - Moving from the ad hoc to the formalThreat Hunting - Moving from the ad hoc to the formal
Threat Hunting - Moving from the ad hoc to the formal
 

Destaque

Big Data e Segurança da Informação - 10o Workshop SegInfo - Apresentação
Big Data e Segurança da Informação - 10o Workshop SegInfo - ApresentaçãoBig Data e Segurança da Informação - 10o Workshop SegInfo - Apresentação
Big Data e Segurança da Informação - 10o Workshop SegInfo - ApresentaçãoClavis Segurança da Informação
 
A maldição do local admin - 10o Workshop SegInfo - Apresentação
A maldição do local admin - 10o Workshop SegInfo - ApresentaçãoA maldição do local admin - 10o Workshop SegInfo - Apresentação
A maldição do local admin - 10o Workshop SegInfo - ApresentaçãoClavis Segurança da Informação
 
Adoção do PCI no Brasil - 10o Workshop SegInfo - Apresentação
Adoção do PCI no Brasil - 10o Workshop SegInfo - ApresentaçãoAdoção do PCI no Brasil - 10o Workshop SegInfo - Apresentação
Adoção do PCI no Brasil - 10o Workshop SegInfo - ApresentaçãoClavis Segurança da Informação
 
Analisando eventos de forma inteligente para detecção de intrusos usando ELK
Analisando eventos de forma inteligente para detecção de intrusos usando ELKAnalisando eventos de forma inteligente para detecção de intrusos usando ELK
Analisando eventos de forma inteligente para detecção de intrusos usando ELKSegInfo
 
Webinar #27 - Curso Permanente ComPTIA Security+ Exame SY0 401
Webinar #27 - Curso Permanente ComPTIA Security+ Exame SY0 401Webinar #27 - Curso Permanente ComPTIA Security+ Exame SY0 401
Webinar #27 - Curso Permanente ComPTIA Security+ Exame SY0 401Clavis Segurança da Informação
 
Aprendendo a atacar (e proteger) aplicações web através de jogos de guerra
Aprendendo a atacar (e proteger) aplicações web através de jogos de guerraAprendendo a atacar (e proteger) aplicações web através de jogos de guerra
Aprendendo a atacar (e proteger) aplicações web através de jogos de guerraClavis Segurança da Informação
 
Segurança PHP - por Samyr Abdo
Segurança PHP - por Samyr AbdoSegurança PHP - por Samyr Abdo
Segurança PHP - por Samyr AbdoSamyr Abdo
 
Segurança da Informação e Estrutura de Redes - Café Empresarial 15/05
Segurança da Informação e Estrutura de Redes - Café Empresarial 15/05 Segurança da Informação e Estrutura de Redes - Café Empresarial 15/05
Segurança da Informação e Estrutura de Redes - Café Empresarial 15/05 sucesuminas
 
Roadsec PRO - Segurança Cibernética Através da ITIL Security
Roadsec PRO - Segurança Cibernética Através da ITIL SecurityRoadsec PRO - Segurança Cibernética Através da ITIL Security
Roadsec PRO - Segurança Cibernética Através da ITIL SecurityRafael Maia
 
Introdução a Segurança da Informação e mecanismos de Proteção
Introdução a Segurança da Informação e mecanismos de ProteçãoIntrodução a Segurança da Informação e mecanismos de Proteção
Introdução a Segurança da Informação e mecanismos de ProteçãoNeemias Lopes
 
Segurança da informação
Segurança da informaçãoSegurança da informação
Segurança da informaçãoimsp2000
 
Entendendo como as Mídias Socias Revolucionaram os Ataques de Força Bruta
Entendendo como as Mídias Socias Revolucionaram os Ataques de Força BrutaEntendendo como as Mídias Socias Revolucionaram os Ataques de Força Bruta
Entendendo como as Mídias Socias Revolucionaram os Ataques de Força BrutaClavis Segurança da Informação
 
Segurança da informação golpes, ataques e riscos
Segurança da informação golpes, ataques e riscosSegurança da informação golpes, ataques e riscos
Segurança da informação golpes, ataques e riscosGleiner Pelluzzi
 
Descobrindo (e Explorando) Vulnerabilidades em Aplicações Web com o Wmap
Descobrindo (e Explorando) Vulnerabilidades em Aplicações Web com o WmapDescobrindo (e Explorando) Vulnerabilidades em Aplicações Web com o Wmap
Descobrindo (e Explorando) Vulnerabilidades em Aplicações Web com o WmapClavis Segurança da Informação
 
Experiência e Cases com Auditorias Teste de Invasão em Redes e Sistemas
Experiência e Cases com Auditorias Teste de Invasão em Redes e SistemasExperiência e Cases com Auditorias Teste de Invasão em Redes e Sistemas
Experiência e Cases com Auditorias Teste de Invasão em Redes e SistemasClavis Segurança da Informação
 
Crimes digitais e Seguranca da Informacao OAB Santos
Crimes digitais e Seguranca da Informacao OAB SantosCrimes digitais e Seguranca da Informacao OAB Santos
Crimes digitais e Seguranca da Informacao OAB SantosVaine Luiz Barreira, MBA
 
Apostila completa-de-php5-mysql-e-ajax
Apostila completa-de-php5-mysql-e-ajaxApostila completa-de-php5-mysql-e-ajax
Apostila completa-de-php5-mysql-e-ajaxhkm4e
 
(Transformar 16) aspectos financeiros 2.1
(Transformar 16) aspectos financeiros 2.1(Transformar 16) aspectos financeiros 2.1
(Transformar 16) aspectos financeiros 2.1Ink_conteudos
 
Segurança em PHP - Blinde seu código de você mesmo!
Segurança em PHP - Blinde seu código de você mesmo!Segurança em PHP - Blinde seu código de você mesmo!
Segurança em PHP - Blinde seu código de você mesmo!Gustavo Neves
 

Destaque (20)

Big Data e Segurança da Informação - 10o Workshop SegInfo - Apresentação
Big Data e Segurança da Informação - 10o Workshop SegInfo - ApresentaçãoBig Data e Segurança da Informação - 10o Workshop SegInfo - Apresentação
Big Data e Segurança da Informação - 10o Workshop SegInfo - Apresentação
 
A maldição do local admin - 10o Workshop SegInfo - Apresentação
A maldição do local admin - 10o Workshop SegInfo - ApresentaçãoA maldição do local admin - 10o Workshop SegInfo - Apresentação
A maldição do local admin - 10o Workshop SegInfo - Apresentação
 
Adoção do PCI no Brasil - 10o Workshop SegInfo - Apresentação
Adoção do PCI no Brasil - 10o Workshop SegInfo - ApresentaçãoAdoção do PCI no Brasil - 10o Workshop SegInfo - Apresentação
Adoção do PCI no Brasil - 10o Workshop SegInfo - Apresentação
 
Analisando eventos de forma inteligente para detecção de intrusos usando ELK
Analisando eventos de forma inteligente para detecção de intrusos usando ELKAnalisando eventos de forma inteligente para detecção de intrusos usando ELK
Analisando eventos de forma inteligente para detecção de intrusos usando ELK
 
Webinar #27 - Curso Permanente ComPTIA Security+ Exame SY0 401
Webinar #27 - Curso Permanente ComPTIA Security+ Exame SY0 401Webinar #27 - Curso Permanente ComPTIA Security+ Exame SY0 401
Webinar #27 - Curso Permanente ComPTIA Security+ Exame SY0 401
 
Palestra GlobalSign
Palestra GlobalSignPalestra GlobalSign
Palestra GlobalSign
 
Aprendendo a atacar (e proteger) aplicações web através de jogos de guerra
Aprendendo a atacar (e proteger) aplicações web através de jogos de guerraAprendendo a atacar (e proteger) aplicações web através de jogos de guerra
Aprendendo a atacar (e proteger) aplicações web através de jogos de guerra
 
Segurança PHP - por Samyr Abdo
Segurança PHP - por Samyr AbdoSegurança PHP - por Samyr Abdo
Segurança PHP - por Samyr Abdo
 
Segurança da Informação e Estrutura de Redes - Café Empresarial 15/05
Segurança da Informação e Estrutura de Redes - Café Empresarial 15/05 Segurança da Informação e Estrutura de Redes - Café Empresarial 15/05
Segurança da Informação e Estrutura de Redes - Café Empresarial 15/05
 
Roadsec PRO - Segurança Cibernética Através da ITIL Security
Roadsec PRO - Segurança Cibernética Através da ITIL SecurityRoadsec PRO - Segurança Cibernética Através da ITIL Security
Roadsec PRO - Segurança Cibernética Através da ITIL Security
 
Introdução a Segurança da Informação e mecanismos de Proteção
Introdução a Segurança da Informação e mecanismos de ProteçãoIntrodução a Segurança da Informação e mecanismos de Proteção
Introdução a Segurança da Informação e mecanismos de Proteção
 
Segurança da informação
Segurança da informaçãoSegurança da informação
Segurança da informação
 
Entendendo como as Mídias Socias Revolucionaram os Ataques de Força Bruta
Entendendo como as Mídias Socias Revolucionaram os Ataques de Força BrutaEntendendo como as Mídias Socias Revolucionaram os Ataques de Força Bruta
Entendendo como as Mídias Socias Revolucionaram os Ataques de Força Bruta
 
Segurança da informação golpes, ataques e riscos
Segurança da informação golpes, ataques e riscosSegurança da informação golpes, ataques e riscos
Segurança da informação golpes, ataques e riscos
 
Descobrindo (e Explorando) Vulnerabilidades em Aplicações Web com o Wmap
Descobrindo (e Explorando) Vulnerabilidades em Aplicações Web com o WmapDescobrindo (e Explorando) Vulnerabilidades em Aplicações Web com o Wmap
Descobrindo (e Explorando) Vulnerabilidades em Aplicações Web com o Wmap
 
Experiência e Cases com Auditorias Teste de Invasão em Redes e Sistemas
Experiência e Cases com Auditorias Teste de Invasão em Redes e SistemasExperiência e Cases com Auditorias Teste de Invasão em Redes e Sistemas
Experiência e Cases com Auditorias Teste de Invasão em Redes e Sistemas
 
Crimes digitais e Seguranca da Informacao OAB Santos
Crimes digitais e Seguranca da Informacao OAB SantosCrimes digitais e Seguranca da Informacao OAB Santos
Crimes digitais e Seguranca da Informacao OAB Santos
 
Apostila completa-de-php5-mysql-e-ajax
Apostila completa-de-php5-mysql-e-ajaxApostila completa-de-php5-mysql-e-ajax
Apostila completa-de-php5-mysql-e-ajax
 
(Transformar 16) aspectos financeiros 2.1
(Transformar 16) aspectos financeiros 2.1(Transformar 16) aspectos financeiros 2.1
(Transformar 16) aspectos financeiros 2.1
 
Segurança em PHP - Blinde seu código de você mesmo!
Segurança em PHP - Blinde seu código de você mesmo!Segurança em PHP - Blinde seu código de você mesmo!
Segurança em PHP - Blinde seu código de você mesmo!
 

Semelhante a Desenvolvimento Seguro de Software - 10o Workshop SegInfo - Apresentação

Global Azure Bootcamp - Recursos de Segurança para Aplicações no Azure
Global Azure Bootcamp - Recursos de Segurança para Aplicações no AzureGlobal Azure Bootcamp - Recursos de Segurança para Aplicações no Azure
Global Azure Bootcamp - Recursos de Segurança para Aplicações no AzureRubens Guimarães - MTAC MVP
 
Rio Info 2009 - Green Hat Segurança da Informação - Bruno Salgado Guimarães
Rio Info 2009 - Green Hat Segurança da Informação - Bruno Salgado GuimarãesRio Info 2009 - Green Hat Segurança da Informação - Bruno Salgado Guimarães
Rio Info 2009 - Green Hat Segurança da Informação - Bruno Salgado GuimarãesRio Info
 
Aula 05 - Curso GRATUITO EAD de Desenvolvimento Seguro de Software com Alcyon...
Aula 05 - Curso GRATUITO EAD de Desenvolvimento Seguro de Software com Alcyon...Aula 05 - Curso GRATUITO EAD de Desenvolvimento Seguro de Software com Alcyon...
Aula 05 - Curso GRATUITO EAD de Desenvolvimento Seguro de Software com Alcyon...Alcyon Ferreira de Souza Junior, MSc
 
API - Security and speed at layer 7 integrated in zabbix.
API - Security and speed at layer 7 integrated in zabbix.API - Security and speed at layer 7 integrated in zabbix.
API - Security and speed at layer 7 integrated in zabbix.Thomás Capiotti
 
Aplicações Web ‐ Seu site está seguro?
Aplicações Web ‐ Seu site está seguro?Aplicações Web ‐ Seu site está seguro?
Aplicações Web ‐ Seu site está seguro?Alex Hübner
 
Gerenciamento de Vulnerabilidades em Aplicações e Servidores Web
Gerenciamento de Vulnerabilidades em Aplicações e Servidores WebGerenciamento de Vulnerabilidades em Aplicações e Servidores Web
Gerenciamento de Vulnerabilidades em Aplicações e Servidores WebEduardo Lanna
 
Segurança de Rede na Era do Software Livre
Segurança de Rede na Era do Software LivreSegurança de Rede na Era do Software Livre
Segurança de Rede na Era do Software LivreMarcelo Piuma
 
Segurança da Informação na era do Software Livre - FLISOL DF 2011
Segurança da Informação na era do Software Livre - FLISOL DF 2011 Segurança da Informação na era do Software Livre - FLISOL DF 2011
Segurança da Informação na era do Software Livre - FLISOL DF 2011Alcyon Ferreira de Souza Junior, MSc
 
Workshop Web - Do Pensamento ao Desenvolvimento - Design, Programação e Banco...
Workshop Web - Do Pensamento ao Desenvolvimento - Design, Programação e Banco...Workshop Web - Do Pensamento ao Desenvolvimento - Design, Programação e Banco...
Workshop Web - Do Pensamento ao Desenvolvimento - Design, Programação e Banco...Rubens Guimarães - MTAC MVP
 
Projeto de Avaliação de Segurança de TI
Projeto de Avaliação de Segurança de TIProjeto de Avaliação de Segurança de TI
Projeto de Avaliação de Segurança de TIMessias Dias Teixeira
 
Seguranca e Criptografia de Dados
Seguranca e Criptografia de DadosSeguranca e Criptografia de Dados
Seguranca e Criptografia de DadosFelipe Plattek
 
[GUTS-RS] - Testes de Segurança: O que preciso saber para planejar
[GUTS-RS] - Testes de Segurança: O que preciso saber para planejar [GUTS-RS] - Testes de Segurança: O que preciso saber para planejar
[GUTS-RS] - Testes de Segurança: O que preciso saber para planejarGUTS-RS
 
Segurança no Desenvolvimento WEB - Técnicas Profissionais
Segurança no Desenvolvimento WEB - Técnicas ProfissionaisSegurança no Desenvolvimento WEB - Técnicas Profissionais
Segurança no Desenvolvimento WEB - Técnicas ProfissionaisRubens Guimarães - MTAC MVP
 

Semelhante a Desenvolvimento Seguro de Software - 10o Workshop SegInfo - Apresentação (20)

Global Azure Bootcamp - Recursos de Segurança para Aplicações no Azure
Global Azure Bootcamp - Recursos de Segurança para Aplicações no AzureGlobal Azure Bootcamp - Recursos de Segurança para Aplicações no Azure
Global Azure Bootcamp - Recursos de Segurança para Aplicações no Azure
 
Testes de Segurança de Software (tech-ed 2008)
Testes de Segurança de Software (tech-ed 2008)Testes de Segurança de Software (tech-ed 2008)
Testes de Segurança de Software (tech-ed 2008)
 
Rio Info 2009 - Green Hat Segurança da Informação - Bruno Salgado Guimarães
Rio Info 2009 - Green Hat Segurança da Informação - Bruno Salgado GuimarãesRio Info 2009 - Green Hat Segurança da Informação - Bruno Salgado Guimarães
Rio Info 2009 - Green Hat Segurança da Informação - Bruno Salgado Guimarães
 
Aula 05 - Curso GRATUITO EAD de Desenvolvimento Seguro de Software com Alcyon...
Aula 05 - Curso GRATUITO EAD de Desenvolvimento Seguro de Software com Alcyon...Aula 05 - Curso GRATUITO EAD de Desenvolvimento Seguro de Software com Alcyon...
Aula 05 - Curso GRATUITO EAD de Desenvolvimento Seguro de Software com Alcyon...
 
API - Security and speed at layer 7 integrated in zabbix.
API - Security and speed at layer 7 integrated in zabbix.API - Security and speed at layer 7 integrated in zabbix.
API - Security and speed at layer 7 integrated in zabbix.
 
Java security
Java securityJava security
Java security
 
Seguranca 2011 uva
Seguranca 2011 uvaSeguranca 2011 uva
Seguranca 2011 uva
 
Aplicações Web ‐ Seu site está seguro?
Aplicações Web ‐ Seu site está seguro?Aplicações Web ‐ Seu site está seguro?
Aplicações Web ‐ Seu site está seguro?
 
Secure Any Cloud
Secure Any CloudSecure Any Cloud
Secure Any Cloud
 
Analysis of vulnerabilities in web applications - LinuxCon Brazil 2010
Analysis of vulnerabilities in web applications - LinuxCon Brazil 2010Analysis of vulnerabilities in web applications - LinuxCon Brazil 2010
Analysis of vulnerabilities in web applications - LinuxCon Brazil 2010
 
Gerenciamento de Vulnerabilidades em Aplicações e Servidores Web
Gerenciamento de Vulnerabilidades em Aplicações e Servidores WebGerenciamento de Vulnerabilidades em Aplicações e Servidores Web
Gerenciamento de Vulnerabilidades em Aplicações e Servidores Web
 
Segurança de Rede
Segurança de RedeSegurança de Rede
Segurança de Rede
 
Segurança de Rede na Era do Software Livre
Segurança de Rede na Era do Software LivreSegurança de Rede na Era do Software Livre
Segurança de Rede na Era do Software Livre
 
Segurança da Informação na era do Software Livre - FLISOL DF 2011
Segurança da Informação na era do Software Livre - FLISOL DF 2011 Segurança da Informação na era do Software Livre - FLISOL DF 2011
Segurança da Informação na era do Software Livre - FLISOL DF 2011
 
Workshop Web - Do Pensamento ao Desenvolvimento - Design, Programação e Banco...
Workshop Web - Do Pensamento ao Desenvolvimento - Design, Programação e Banco...Workshop Web - Do Pensamento ao Desenvolvimento - Design, Programação e Banco...
Workshop Web - Do Pensamento ao Desenvolvimento - Design, Programação e Banco...
 
Projeto de Avaliação de Segurança de TI
Projeto de Avaliação de Segurança de TIProjeto de Avaliação de Segurança de TI
Projeto de Avaliação de Segurança de TI
 
Seguranca e Criptografia de Dados
Seguranca e Criptografia de DadosSeguranca e Criptografia de Dados
Seguranca e Criptografia de Dados
 
[GUTS-RS] - Testes de Segurança: O que preciso saber para planejar
[GUTS-RS] - Testes de Segurança: O que preciso saber para planejar [GUTS-RS] - Testes de Segurança: O que preciso saber para planejar
[GUTS-RS] - Testes de Segurança: O que preciso saber para planejar
 
Segurança no Desenvolvimento WEB - Técnicas Profissionais
Segurança no Desenvolvimento WEB - Técnicas ProfissionaisSegurança no Desenvolvimento WEB - Técnicas Profissionais
Segurança no Desenvolvimento WEB - Técnicas Profissionais
 
Segurança em PHP
Segurança em PHPSegurança em PHP
Segurança em PHP
 

Mais de Clavis Segurança da Informação

Resposta a Incidentes | Mind The Sec 2022 com Rodrigo Montoro
Resposta a Incidentes | Mind The Sec 2022 com Rodrigo MontoroResposta a Incidentes | Mind The Sec 2022 com Rodrigo Montoro
Resposta a Incidentes | Mind The Sec 2022 com Rodrigo MontoroClavis Segurança da Informação
 
Clavis e Cyberark promovem almoço para sobre soluções para a área de Seguranç...
Clavis e Cyberark promovem almoço para sobre soluções para a área de Seguranç...Clavis e Cyberark promovem almoço para sobre soluções para a área de Seguranç...
Clavis e Cyberark promovem almoço para sobre soluções para a área de Seguranç...Clavis Segurança da Informação
 
Manobras Evasivas: Técnicas de Evasão para Varreduras com o Nmap
Manobras Evasivas: Técnicas de Evasão para Varreduras com o NmapManobras Evasivas: Técnicas de Evasão para Varreduras com o Nmap
Manobras Evasivas: Técnicas de Evasão para Varreduras com o NmapClavis Segurança da Informação
 
Tutorial: Principais Vulnerabilidades em Aplicações Web – Rafael Soares Ferre...
Tutorial: Principais Vulnerabilidades em Aplicações Web – Rafael Soares Ferre...Tutorial: Principais Vulnerabilidades em Aplicações Web – Rafael Soares Ferre...
Tutorial: Principais Vulnerabilidades em Aplicações Web – Rafael Soares Ferre...Clavis Segurança da Informação
 
Testes de Invasão ajudam a alcançar a conformidade - Segurança da Informação
Testes de Invasão ajudam a alcançar a conformidade - Segurança da InformaçãoTestes de Invasão ajudam a alcançar a conformidade - Segurança da Informação
Testes de Invasão ajudam a alcançar a conformidade - Segurança da InformaçãoClavis Segurança da Informação
 
Gerenciamento de Vulnerabilidades em Redes Corporativas - CNASI - DF
Gerenciamento de Vulnerabilidades em Redes Corporativas - CNASI - DFGerenciamento de Vulnerabilidades em Redes Corporativas - CNASI - DF
Gerenciamento de Vulnerabilidades em Redes Corporativas - CNASI - DFClavis Segurança da Informação
 
Impacto sobre o Negócio da Exploração de Vulnerabilidades de Injeção em Aplic...
Impacto sobre o Negócio da Exploração de Vulnerabilidades de Injeção em Aplic...Impacto sobre o Negócio da Exploração de Vulnerabilidades de Injeção em Aplic...
Impacto sobre o Negócio da Exploração de Vulnerabilidades de Injeção em Aplic...Clavis Segurança da Informação
 
Gerenciamento de Vulnerabilidades em Redes Corporativas - CNASI RJ
Gerenciamento de Vulnerabilidades em Redes Corporativas - CNASI RJ Gerenciamento de Vulnerabilidades em Redes Corporativas - CNASI RJ
Gerenciamento de Vulnerabilidades em Redes Corporativas - CNASI RJ Clavis Segurança da Informação
 
Webinar # 17 – Análise de Malware em Forense Computacional
Webinar # 17 – Análise de Malware em Forense ComputacionalWebinar # 17 – Análise de Malware em Forense Computacional
Webinar # 17 – Análise de Malware em Forense ComputacionalClavis Segurança da Informação
 
Webinar # 16 – Ataques de Força Bruta – Método Dicionário, Híbridos e Rainbow...
Webinar # 16 – Ataques de Força Bruta – Método Dicionário, Híbridos e Rainbow...Webinar # 16 – Ataques de Força Bruta – Método Dicionário, Híbridos e Rainbow...
Webinar # 16 – Ataques de Força Bruta – Método Dicionário, Híbridos e Rainbow...Clavis Segurança da Informação
 
OWASP Top 10 - Experiência e Cases com Auditorias Teste de Invasão em Aplicaç...
OWASP Top 10 - Experiência e Cases com Auditorias Teste de Invasão em Aplicaç...OWASP Top 10 - Experiência e Cases com Auditorias Teste de Invasão em Aplicaç...
OWASP Top 10 - Experiência e Cases com Auditorias Teste de Invasão em Aplicaç...Clavis Segurança da Informação
 
Palestra "Teste de Invasão com o Nmap Scripting Engine"" FISL 13
Palestra "Teste de Invasão com o Nmap Scripting Engine"" FISL 13 Palestra "Teste de Invasão com o Nmap Scripting Engine"" FISL 13
Palestra "Teste de Invasão com o Nmap Scripting Engine"" FISL 13 Clavis Segurança da Informação
 
Slides Webinar #9 As provas e as Evidências na Investigação dos Crimes Inform...
Slides Webinar #9 As provas e as Evidências na Investigação dos Crimes Inform...Slides Webinar #9 As provas e as Evidências na Investigação dos Crimes Inform...
Slides Webinar #9 As provas e as Evidências na Investigação dos Crimes Inform...Clavis Segurança da Informação
 
Palestra em parceria com o @cefet_rj – Auditoria Teste de Invasão em Aplicações
Palestra em parceria com o @cefet_rj – Auditoria Teste de Invasão em AplicaçõesPalestra em parceria com o @cefet_rj – Auditoria Teste de Invasão em Aplicações
Palestra em parceria com o @cefet_rj – Auditoria Teste de Invasão em AplicaçõesClavis Segurança da Informação
 
"Técnicas e Ferramentas para Auditorias Testes de Invasão"
"Técnicas e Ferramentas para Auditorias Testes de Invasão" "Técnicas e Ferramentas para Auditorias Testes de Invasão"
"Técnicas e Ferramentas para Auditorias Testes de Invasão" Clavis Segurança da Informação
 

Mais de Clavis Segurança da Informação (20)

Resposta a Incidentes | Mind The Sec 2022 com Rodrigo Montoro
Resposta a Incidentes | Mind The Sec 2022 com Rodrigo MontoroResposta a Incidentes | Mind The Sec 2022 com Rodrigo Montoro
Resposta a Incidentes | Mind The Sec 2022 com Rodrigo Montoro
 
Palestra Clavis - Octopus
Palestra Clavis - OctopusPalestra Clavis - Octopus
Palestra Clavis - Octopus
 
Palestra Exceda - Clavis 2016
Palestra Exceda - Clavis 2016Palestra Exceda - Clavis 2016
Palestra Exceda - Clavis 2016
 
Clavis e Cyberark promovem almoço para sobre soluções para a área de Seguranç...
Clavis e Cyberark promovem almoço para sobre soluções para a área de Seguranç...Clavis e Cyberark promovem almoço para sobre soluções para a área de Seguranç...
Clavis e Cyberark promovem almoço para sobre soluções para a área de Seguranç...
 
Webinar # 21 – Análise Forense de Redes
Webinar # 21 – Análise Forense de Redes Webinar # 21 – Análise Forense de Redes
Webinar # 21 – Análise Forense de Redes
 
Manobras Evasivas: Técnicas de Evasão para Varreduras com o Nmap
Manobras Evasivas: Técnicas de Evasão para Varreduras com o NmapManobras Evasivas: Técnicas de Evasão para Varreduras com o Nmap
Manobras Evasivas: Técnicas de Evasão para Varreduras com o Nmap
 
Tutorial: Principais Vulnerabilidades em Aplicações Web – Rafael Soares Ferre...
Tutorial: Principais Vulnerabilidades em Aplicações Web – Rafael Soares Ferre...Tutorial: Principais Vulnerabilidades em Aplicações Web – Rafael Soares Ferre...
Tutorial: Principais Vulnerabilidades em Aplicações Web – Rafael Soares Ferre...
 
Testes de Invasão ajudam a alcançar a conformidade - Segurança da Informação
Testes de Invasão ajudam a alcançar a conformidade - Segurança da InformaçãoTestes de Invasão ajudam a alcançar a conformidade - Segurança da Informação
Testes de Invasão ajudam a alcançar a conformidade - Segurança da Informação
 
Gerenciamento de Vulnerabilidades em Redes Corporativas - CNASI - DF
Gerenciamento de Vulnerabilidades em Redes Corporativas - CNASI - DFGerenciamento de Vulnerabilidades em Redes Corporativas - CNASI - DF
Gerenciamento de Vulnerabilidades em Redes Corporativas - CNASI - DF
 
Impacto sobre o Negócio da Exploração de Vulnerabilidades de Injeção em Aplic...
Impacto sobre o Negócio da Exploração de Vulnerabilidades de Injeção em Aplic...Impacto sobre o Negócio da Exploração de Vulnerabilidades de Injeção em Aplic...
Impacto sobre o Negócio da Exploração de Vulnerabilidades de Injeção em Aplic...
 
Gerenciamento de Vulnerabilidades em Redes Corporativas - CNASI RJ
Gerenciamento de Vulnerabilidades em Redes Corporativas - CNASI RJ Gerenciamento de Vulnerabilidades em Redes Corporativas - CNASI RJ
Gerenciamento de Vulnerabilidades em Redes Corporativas - CNASI RJ
 
Webinar #18 – A Nova Lei de Cibercrimes
Webinar #18 – A Nova Lei de CibercrimesWebinar #18 – A Nova Lei de Cibercrimes
Webinar #18 – A Nova Lei de Cibercrimes
 
Webinar # 17 – Análise de Malware em Forense Computacional
Webinar # 17 – Análise de Malware em Forense ComputacionalWebinar # 17 – Análise de Malware em Forense Computacional
Webinar # 17 – Análise de Malware em Forense Computacional
 
Webinar # 16 – Ataques de Força Bruta – Método Dicionário, Híbridos e Rainbow...
Webinar # 16 – Ataques de Força Bruta – Método Dicionário, Híbridos e Rainbow...Webinar # 16 – Ataques de Força Bruta – Método Dicionário, Híbridos e Rainbow...
Webinar # 16 – Ataques de Força Bruta – Método Dicionário, Híbridos e Rainbow...
 
OWASP Top 10 - Experiência e Cases com Auditorias Teste de Invasão em Aplicaç...
OWASP Top 10 - Experiência e Cases com Auditorias Teste de Invasão em Aplicaç...OWASP Top 10 - Experiência e Cases com Auditorias Teste de Invasão em Aplicaç...
OWASP Top 10 - Experiência e Cases com Auditorias Teste de Invasão em Aplicaç...
 
Palestra Auditoria de Segurança em Redes sem Fio
Palestra Auditoria de Segurança em Redes sem FioPalestra Auditoria de Segurança em Redes sem Fio
Palestra Auditoria de Segurança em Redes sem Fio
 
Palestra "Teste de Invasão com o Nmap Scripting Engine"" FISL 13
Palestra "Teste de Invasão com o Nmap Scripting Engine"" FISL 13 Palestra "Teste de Invasão com o Nmap Scripting Engine"" FISL 13
Palestra "Teste de Invasão com o Nmap Scripting Engine"" FISL 13
 
Slides Webinar #9 As provas e as Evidências na Investigação dos Crimes Inform...
Slides Webinar #9 As provas e as Evidências na Investigação dos Crimes Inform...Slides Webinar #9 As provas e as Evidências na Investigação dos Crimes Inform...
Slides Webinar #9 As provas e as Evidências na Investigação dos Crimes Inform...
 
Palestra em parceria com o @cefet_rj – Auditoria Teste de Invasão em Aplicações
Palestra em parceria com o @cefet_rj – Auditoria Teste de Invasão em AplicaçõesPalestra em parceria com o @cefet_rj – Auditoria Teste de Invasão em Aplicações
Palestra em parceria com o @cefet_rj – Auditoria Teste de Invasão em Aplicações
 
"Técnicas e Ferramentas para Auditorias Testes de Invasão"
"Técnicas e Ferramentas para Auditorias Testes de Invasão" "Técnicas e Ferramentas para Auditorias Testes de Invasão"
"Técnicas e Ferramentas para Auditorias Testes de Invasão"
 

Desenvolvimento Seguro de Software - 10o Workshop SegInfo - Apresentação

  • 2. Clavis Segurança da informação www.clavis.com.br Green Hat Segurança da Informação whoami Doutor em Engenharia Elétrica (UNESP/ULL) Instrutor dos cursos de Forense, Testes de Invasão e de Desenvolvimento Seguro, Proteção de Software Coordenador de projetos de pesquisa, orientador de alunos de mestrado/ doutorado MPMQ/PPGI - mais de 50 artigos científicos publicados Entre 2007 e 2009 trabalhou no Software Research Lab da University of Louisiana at Lafayette, na qual se especializou em análise estática e dinâmica de artefatos maliciosos Entre 2010 e 2015 desenvolveu metodologias para o Serviço de Avaliação de Produtos de Software no Laboratório de Informática da Divisão de Metrologia em Tecnologia da Informação e Telecomunicações do Inmetro 02 DAVIDSON RODRIGO BOCCARDO DIRETOR DO GREEN HAT LABS Green Hat Segurança da Informação
  • 3. Green Hat Segurança da informação www.clavis.com.br Sobre a Green Hat Análise de Segurança Orientada por Dados Análise de Código e Segurança de Software Auditorias Teste de Invasão Forense Computacional • 2009: empresa spin-off corporativa que nasceu a partir de um grupo da Clavis Segurança da Informação • 2010: Framework de Teste de Invasão (FINEP) • 2015: Auditoria de Código-Fonte e Análise Dinâmica • 2016: Análise de Código e Segurança de Software • 2016: Análise de Segurança Orientada por Dados (FAPERJ) Green Hat 01 Auditoria de Código-Fonte Análise dinâmica
  • 4. Green Hat Segurança da Informação www.clavis.com.br Segurança de Software • A economia e as defesas das nações dependem, em grande parte, da execução de software confiável • Software é onipresente! • afeta todos os aspectos de nossas vidas pessoais e profissionais • Vulnerabilidades de software também são ubíquas, comprometendo: • identidades pessoais • propriedade intelectual • confiança do consumidor • serviços empresariais e operações • infra-estruturas críticas e governo 03
  • 5. Green Hat Segurança da Informação www.clavis.com.br Falhas crescentes envolvendo software 04 [GIZMODO, 2014] [FINANCIAL TIMES, 2014]
  • 6. Green Hat Segurança da Informação www.clavis.com.br Falhas crescentes envolvendo software 05 [SLASHDOT, 2012] [REDDIT, 2014] [THEGUARDIAN, 2013]
  • 7. Green Hat Segurança da Informação www.clavis.com.br Falhas crescentes envolvendo software 06 [NEWYORKTIMES, 2011] [FORBES, 2014]
  • 8. Green Hat Segurança da Informação www.clavis.com.br Falhas de software são custosas 07 [NEWYORKTIMES, 2014] [THE WALL STREET JORNAL, 2014]
  • 9. Green Hat Segurança da Informação www.clavis.com.br • Maioria das vulnerabilidades são causadas por erros de programação • 64% das vulnerabilidades da base do NIST NVD • 51% dessas são originadas em erros clássicos como buffer overflows, cross-site scripting, falhas de injeção • Vulnerabilidades mais comuns incluem: • Integer overflow • Buffer overflow • Format string • Autenticação ausente • Autorização ausente ou incorreta • Confiar em entradas não-confiáveis 08Origem das falhas de software
  • 10. Green Hat Segurança da Informação www.clavis.com.br • Começa com o entendimento de práticas de codificação inseguras e como podem ser exploradas • Projetos inseguros podem levar a “erros intencionais”, ou seja, o código está corretamente implementado, mas o software resultante é vulnerável • Projetos seguros exigem um entendimento dos requisitos de software funcionais e não-funcionais • Codificação segura exige um entendimento específico de cada linguagem de programação 09Desenvolvimento de Software Seguro
  • 11. Green Hat Segurança da Informação www.clavis.com.br Fontes de Insegurança em Software • Considerações mínimas ou ausentes de segurança durante todo o ciclo de vida do software • Complexidade, mudanças, suposições incorretas • Não pensar como um atacante • Especificações e projetos falhos • Implementação “pobre” das interfaces de software • Interações inesperadas e não-intencionais • Conhecimento inadequado de práticas de codificação segura 10
  • 12. Green Hat Segurança da Informação www.clavis.com.br 11 • Análise de requisitos de segurança e arquitetura de software • Inspeção de código e programação segura • Análise de fluxo de controle e de dados • Análise de vulnerabilidades (CWE/SANS Top 25, OWASP Top 10) • Análise dinâmica de software e testes funcionais • Proteção de Software • Ofuscação, Incorruptibilidade e Marca d'água Análise de Código e Segurança de Software
  • 13. Green Hat Segurança da Informação www.clavis.com.br Análise de Requisitos de Segurança e Arquitetura de Software 12 • Requisitos gerais de segurança • Confidencialidade, integridade e disponibilidade • Ambiente de implantação, arquivamento, anti-pirataria • Gerenciamento de sessões, gerenciamento de erros e excessões, gerenciamento de parâmetros de configuração
 • Arquitetura de segurança • Princípios básicos de projeto seguro: redução das superfícies de ataque, falha segura, defesa em profundidade, privilégio mínimo, separação de deveres, etc… • Utilização correta de algoritmos criptográficos e protocolos de segurança
  • 14. Green Hat Segurança da Informação www.clavis.com.br Inspeção de Código e Programação Segura 13 Análise do Fluxo de Controle: Rastreabilidade de Software
  • 15. Green Hat Segurança da Informação www.clavis.com.br 14 Inspeção de Código e Programação Segura Análise do Fluxo de Controle: Funcionalidades Escondidas
  • 16. Green Hat Segurança da Informação www.clavis.com.br 15 Inspeção de Código e Programação Segura Orientações para Codificação Segura
  • 17. Green Hat Segurança da Informação www.clavis.com.br 16 Um estouro de buffer ocorre quando dados são gravados fora dos limites da memória alocada para uma estrutura de dados específica Inspeção de Código e Programação Segura Análise de Vulnerabilidades: Buffer overflow Origem Destino 16 Bytes Memória Alocada Memória Adjacente Montparnasse derailment [1895]
  • 18. Green Hat Segurança da Informação www.clavis.com.br 17 Inspeção de Código e Programação Segura Análise de Vulnerabilidades: Buffer overflow • Ocorre quando o limite de buffer é negligenciado e não-verificado • Pode ocorrer em qualquer segmento de memória • Pode ser explorado para modificar: • variável • ponteiro de dados • ponteiro de função • endereço de retorno na pilha
  • 19. Green Hat Segurança da Informação www.clavis.com.br 18 Inspeção de Código e Programação Segura Análise de Vulnerabilidades: Buffer overflow printf(“Nome:.n"); 
 rc = scanf("%s", registro[idx].nome); if (rc != 1) { printf(“Entrada inválida.n"); exit(1); }
  • 20. Green Hat Segurança da Informação www.clavis.com.br 19 Inspeção de Código e Programação Segura Análise de Vulnerabilidades: Buffer overflow printf(“Nome:.n"); 
 rc = scanf("%s", registro[idx].nome); if (rc != 1) { printf(“Entrada inválida.n"); exit(1); } Captura até acabar a entrada ou encontrar um espaço
  • 21. Green Hat Segurança da Informação www.clavis.com.br 20 Inspeção de Código e Programação Segura Análise de Vulnerabilidades: Buffer overflow void* rp; ... printf(“Nome:.n"); rp = fgets(registro[idx].nome, sizeof(registro[idx].nome), stdin); if(rp == NULL) { printf(“Entrada inválida.n"); exit(1); } Captura até acabar a entrada ou atingir o limite do buffer
  • 22. Green Hat Segurança da Informação www.clavis.com.br 21 Uma entrada de usuário maliciosa é enviada para algum processador: Inspeção de Código e Programação Segura Análise de Vulnerabilidades: Injeção Processador Tipo de Injeção HTML Parser (inc. navegador) Cross-Site Scripting (XSS) Shell OS Command C printf () Format String Banco de Dados SQL Função de acesso a arquivo (fopen()) Pathname
  • 23. Green Hat Segurança da Informação www.clavis.com.br 22 Inspeção de Código e Programação Segura Análise de Vulnerabilidades: Injeção SQL • Programas devem tomar medidas para garantir que quaisquer dados que cruzem uma fronteira de confiança sejam apropriados e não-malicioso
  • 24. Green Hat Segurança da Informação www.clavis.com.br 23 Inspeção de Código e Programação Segura Análise de Vulnerabilidades: Injeção SQL boolean isPasswordCorrect(String name, char[] password) throws SQLException, ClassNotFoundException { Connection connection = getConnection(); ... String pwd = new String(password); String sqlString = "SELECT * FROM Users WHERE name = '” + name + "' AND password = '" + pwd + "'"; Statement stmt = connection.createStatement(); ResultSet rs = stmt.executeQuery(sqlString); if (!rs.next()) return false; }
  • 25. Green Hat Segurança da Informação www.clavis.com.br boolean isPasswordCorrect(String name, char[] password) throws SQLException, ClassNotFoundException { Connection connection = getConnection(); ... String pwd = new String(password); String sqlString = "SELECT * FROM Users WHERE name = '” + name + "' AND password = '" + pwd + "'"; Statement stmt = connection.createStatement(); ResultSet rs = stmt.executeQuery(sqlString); if (!rs.next()) return false; } 24 Inspeção de Código e Programação Segura Análise de Vulnerabilidades: Injeção SQL
  • 26. Green Hat Segurança da Informação www.clavis.com.br boolean isPasswordCorrect(String name, char[] password) throws SQLException, ClassNotFoundException { Connection connection = getConnection(); ... String pwd = new String(password); String sqlString = "SELECT * FROM Users WHERE name = '” + name + "' AND password = '" + pwd + "'"; Statement stmt = connection.createStatement(); ResultSet rs = stmt.executeQuery(sqlString); if (!rs.next()) return false; } 25 Inspeção de Código e Programação Segura Análise de Vulnerabilidades: Injeção SQL name e password não foram tratados!
  • 27. Green Hat Segurança da Informação www.clavis.com.br boolean isPasswordCorrect(String name, char[] password) throws SQLException, ClassNotFoundException { Connection connection = getConnection(); ... String pwd = new String(password); String sqlString = "SELECT * FROM Users WHERE name=? AND password=?"; PreparedStatement stmt = connection.prepareStatement(sqlString); stmt.setString(1, name); stmt.setString(2, pwd);
 ResultSet rs = stmt.executeQuery(); if (!rs.next()) { return false; } 26 Inspeção de Código e Programação Segura Análise de Vulnerabilidades: Injeção SQL sanitização da entrada =)
  • 28. Green Hat Segurança da Informação www.clavis.com.br 27 Inspeção de Código e Programação Segura Análise Dinâmica: Análise do Fluxo de Controle e Dados
  • 29. Green Hat Segurança da Informação www.clavis.com.br 28 Inspeção de Código e Programação Segura Análise Dinâmica: Propagação de Atributos e Execução Simbólica
  • 30. Green Hat Segurança da Informação www.clavis.com.br 29 • Resistir à engenharia reversa estática e dinâmica • Resistir à modificações não autorizadas • Resistir à clonagem de software • Resistir ao spoofing • Esconder segredos estáticos e dinâmicos (criação, transmissão, utilização) • Impedir a distribuição de programas “crackeados” • Ofuscação — proteção contra engenharia reversa • Incorruptibilidade — proteção contra modificação/monitoramento • Marca d’água — identificação de autoria e rastreamento de propriedade Proteção de Software
  • 31. Green Hat Segurança da Informação www.clavis.com.br 30 Ofuscação Marca d’água Incorruptibilidade Proteção de Software
  • 32. Green Hat Segurança da Informação www.clavis.com.br Ofuscação: movfuscator The M/o/Vfuscator compiles programs into "mov" instructions, and only "mov" instructions. Arithmetic, comparisons, jumps, function calls, and everything else a program needs are all performed through mov operations; there is no self-modifying code, no transport-triggered calculation, and no other form of non-mov cheating 31
  • 33. Green Hat Segurança da Informação www.clavis.com.br Movfuscator: Grafo de Fluxo de Controle 32
  • 34. Green Hat Segurança da Informação www.clavis.com.br Incorruptibilidade 33
  • 35. Green Hat Segurança da Informação www.clavis.com.br Marca d’água e Impressão Digital 34 Como?Para quê?
  • 36. Green Hat Segurança da Informação www.clavis.com.br Marca d’água e Impressão Digital: CFG 35
  • 37. Green Hat Segurança da Informação www.clavis.com.br Conclusões • A iminência de falhas de software em infraestruturas críticas, aplicações e serviços aumenta a necessidade de • Novas regulamentações referentes à segurança de software • Serviços, metodologias e ferramentas para avaliação de segurança • Treinamento/conscientização em desenvolvimento seguro 36
  • 38. Green Hat Segurança da informação www.clavis.com.br Muito Obrigado! 37 davidson@clavis.com.br Davidson R. Boccardo Diretor do Green Hat Labs