The goal of the sessions is to promote regular, free and open forum for the exchange of information between the academic community and organizations subordinate to the topic of Information Security. Upcoming events are dedicated to macro-theme "Security and Software"

1. Engineeringfor digital security
Segurança Aplicada
SECURITY_!3V3NTZ#“ Workshop
2 de dezembro de 2014

2. Agenda
•Vulnerabilidade
•Defeitos/Bugs de Segurança
•Ameaças
•O que fazer
•Prevenção
•Mitigação
•Pessoas
•Recursos

3. Vulnerabilidade
A weakness of an asset or group of assets that can be exploited by one or more threats
(ISO 27005)
The existence of a weakness, design, or implementation error that can lead to an unexpected, undesirable event compromising the security of the computer system, network, application, or protocol involved.
A flaw or weakness in a system's design, implementation, or operation and management that could be exploited to violate the system's security policy
(RFC 2828)

4. Defeitos/Bugs de Segurança
•São bugs de software que podem ser explorados para obter acessos ou privilégios não autorizados a um sistema informático.
•Podemserde váriostipos:
oGestão de memória
oRaceconditions
oGestão de I/O
oTratamento de excepções
oLibertação de recursos
o…
•Podemterváriascausas:
oComplexidade dos sistemas
oFalta de treino/conhecimento
oFalta de execução de testes
oAnálise funcional em falta ou insuficiente
oMetodologia de desenvolvimento desadequada
o…

5. Ameaças
•Vírus(File, Script, Boot, Macro)
•Malware (Worm, Trojan, Adware, Spyware, Dangerous apps, Hoaxes, Scams)
•Ataques Remotos (DoS/DDoS, DNS Poisoning, TCP Desynchronization–MitM, SMB Relay, Spoofing)
•Aplicações Web (Top 10 OWASP):
oInjection(SQL, LDAP, OS)
oBrokenAuthenticationandSessionManagement
oCross-Site Scripting(XSS)
oInsecureDirectObjectReference
oSecurityMisconfiguration
oSensitiveData Exposure
oMissingFunctionLevelAccess Control
oCross-Site RequestForgery(CSRF)
oUsingComponentswithKnowVulnerabilities
oUnvalidatedRedirectsandForwards

6. O que fazer?
Pessoas
Processos
Ferramentas

7. Prevenção
•PROCESSOS
oTreino adequado
oIdentificação correctae clara de requisitos funcionais e não funcionais
oModelação e especificação dos componentes a desenvolver
oAnálise funcional e técnica da solução proposta
oPrototipagem e Provas de Conceito
oIdentificação de Casos de Teste incluindo resultados esperados
oMetodologias de Desenvolvimento orientadas a testes (e.g. TDD)
oTestes Unitários!! Testes Unitários!! Testes Unitários!!
oVerificação Interna (Testes Black Box, Testes Funcionais, Testes de Carga)
oDocumentação
oRelease

8. Prevenção
•FERRAMENTAS
oRepositório de Código Fonte
oRepositório de Builds
oPeerReview& PairProgramming
oIntegração Contínua e automação de builds
oAnálise Estática e Métricas de Qualidade
oControlo e gestão de ciclo de vida de projecto
oProfilinge Mocks
oTestes de Intrusão
oTestes WhiteHat
o…

9. Mitigação
•Acompanhamento e monitorização
•Detecçãodo problema e análise de impacto
•Resposta rápida!!
•Tentar estar a par da evolução tecnológica
•Detectaros problemas antes de eles acontecerem
•Humildade no reconhecimento de falhas
•Resposta rápida!!

10. Pessoas
A paradox of social engineering attacks is that people are not only the biggest problem and security risk, but also the best tool to defend against these attacks.
(PrinciplesofComputerSecurity–Security+ andBeyond)
•Pessoalmente
oSolidariedade
oProfissionalismo
oResponsabilidade
o…
•Profissionalmente
oAuto-aprendizagem
oSeguirBoas Práticas
oTestar frequentemente!! 
Awareness& Assurance

11. Recursos
•Open Web ApplicationSecurityProject (OWASP): https://www.owasp.org/
•CommonWeaknessEnumeration(CWE): http://cwe.mitre.org/
•CERT (http://www.cert.org/)
oSecure Coding(http://www.cert.org/secure-coding/)
oVulnerabilityAnalysis(http://www.cert.org/vulnerability-analysis/)
•CERT.pt (http://cert.pt/)
•EuropeanUnionAgencyfor Network andInformationSecurity(ENISA) : http://www.enisa.europa.eu/
•Google: https://www.google.com/

12. Engineeringfor digital security