SlideShare uma empresa Scribd logo
1 de 38
Baixar para ler offline
AnálisedeCódigoe
SegurançadeSoftware
Por Davidson Boccardo Data: 23/11/2016
Clavis
Segurança da informação
www.clavis.com.br
Green Hat
Segurança da Informação
whoami
Doutor em Engenharia Elétrica (UNESP/ULL)
Instrutor dos cursos de Forense, Testes de Invasão e de Desenvolvimento
Seguro, Proteção de Software
Coordenador de projetos de pesquisa, orientador de alunos de mestrado/
doutorado MPMQ/PPGI - mais de 50 artigos científicos publicados
Entre 2007 e 2009 trabalhou no Software Research Lab da University of
Louisiana at Lafayette, na qual se especializou em análise estática e dinâmica
de artefatos maliciosos
Entre 2010 e 2015 desenvolveu metodologias para o Serviço de Avaliação de
Produtos de Software no Laboratório de Informática da Divisão de Metrologia
em Tecnologia da Informação e Telecomunicações do Inmetro
02
DAVIDSON RODRIGO BOCCARDO
DIRETOR DO GREEN HAT LABS
Green Hat
Segurança da Informação
Green Hat
Segurança da informação
www.clavis.com.br
Sobre a Green Hat
Análise de Segurança
Orientada por Dados
Análise de Código e Segurança
de Software
Auditorias Teste de Invasão
Forense
Computacional
• 2009: empresa spin-off corporativa que nasceu a
partir de um grupo da Clavis Segurança da
Informação
• 2010: Framework de Teste de Invasão (FINEP)
• 2015: Auditoria de Código-Fonte e Análise Dinâmica
• 2016: Análise de Código e Segurança de Software
• 2016: Análise de Segurança Orientada por Dados
(FAPERJ)
Green Hat
01
Auditoria de
Código-Fonte
Análise dinâmica
Green Hat
Segurança da Informação
www.clavis.com.br
Segurança de Software
• A economia e as defesas das nações dependem, em grande parte, da
execução de software confiável

• Software é onipresente!
• afeta todos os aspectos de nossas vidas pessoais e profissionais

• Vulnerabilidades de software também são ubíquas, comprometendo:

• identidades pessoais

• propriedade intelectual

• confiança do consumidor

• serviços empresariais e operações 

• infra-estruturas críticas e governo

03
Green Hat
Segurança da Informação
www.clavis.com.br
Falhas crescentes envolvendo software 04
[GIZMODO, 2014] [FINANCIAL TIMES, 2014]
Green Hat
Segurança da Informação
www.clavis.com.br
Falhas crescentes envolvendo software 05
[SLASHDOT, 2012]
[REDDIT, 2014]
[THEGUARDIAN, 2013]
Green Hat
Segurança da Informação
www.clavis.com.br
Falhas crescentes envolvendo software 06
[NEWYORKTIMES, 2011] [FORBES, 2014]
Green Hat
Segurança da Informação
www.clavis.com.br
Falhas de software são custosas 07
[NEWYORKTIMES, 2014]
[THE WALL STREET JORNAL, 2014]
Green Hat
Segurança da Informação
www.clavis.com.br
• Maioria das vulnerabilidades são causadas por erros de programação
• 64% das vulnerabilidades da base do NIST NVD
• 51% dessas são originadas em erros clássicos como buffer overflows,
cross-site scripting, falhas de injeção
• Vulnerabilidades mais comuns incluem:
• Integer overflow
• Buffer overflow
• Format string
• Autenticação ausente
• Autorização ausente ou incorreta
• Confiar em entradas não-confiáveis
08Origem das falhas de software
Green Hat
Segurança da Informação
www.clavis.com.br
• Começa com o entendimento de práticas de codificação inseguras e como
podem ser exploradas
• Projetos inseguros podem levar a “erros intencionais”, ou seja, o código
está corretamente implementado, mas o software resultante é vulnerável
• Projetos seguros exigem um
entendimento dos requisitos de 

software funcionais e não-funcionais

• Codificação segura exige um

entendimento específico de cada 

linguagem de programação
09Desenvolvimento de Software Seguro
Green Hat
Segurança da Informação
www.clavis.com.br
Fontes de Insegurança em Software
• Considerações mínimas ou ausentes de segurança durante todo o ciclo de
vida do software

• Complexidade, mudanças, suposições incorretas 

• Não pensar como um atacante

• Especificações e projetos falhos

• Implementação “pobre” das interfaces de software 

• Interações inesperadas e não-intencionais

• Conhecimento inadequado de práticas de codificação segura

10
Green Hat
Segurança da Informação
www.clavis.com.br
11
• Análise de requisitos de segurança e arquitetura de software

• Inspeção de código e programação segura

• Análise de fluxo de controle e de dados

• Análise de vulnerabilidades (CWE/SANS Top 25, OWASP Top 10) 

• Análise dinâmica de software e testes funcionais

• Proteção de Software

• Ofuscação, Incorruptibilidade e Marca d'água
Análise de Código e Segurança de Software
Green Hat
Segurança da Informação
www.clavis.com.br
Análise de Requisitos de Segurança
e Arquitetura de Software 12
• Requisitos gerais de segurança

• Confidencialidade, integridade e disponibilidade

• Ambiente de implantação, arquivamento, anti-pirataria

• Gerenciamento de sessões, gerenciamento de erros e excessões, gerenciamento de
parâmetros de configuração

• Arquitetura de segurança

• Princípios básicos de projeto seguro: redução das superfícies de ataque, falha segura,
defesa em profundidade, privilégio mínimo, separação de deveres, etc…

• Utilização correta de algoritmos criptográficos e protocolos de segurança
Green Hat
Segurança da Informação
www.clavis.com.br
Inspeção de Código e Programação Segura
13
Análise do Fluxo de Controle: Rastreabilidade de Software
Green Hat
Segurança da Informação
www.clavis.com.br
14
Inspeção de Código e Programação Segura
Análise do Fluxo de Controle: Funcionalidades Escondidas
Green Hat
Segurança da Informação
www.clavis.com.br
15
Inspeção de Código e Programação Segura
Orientações para Codificação Segura
Green Hat
Segurança da Informação
www.clavis.com.br
16
Um estouro de buffer ocorre quando dados são gravados fora dos limites da
memória alocada para uma estrutura de dados específica
Inspeção de Código e Programação Segura
Análise de Vulnerabilidades: Buffer overflow
Origem
Destino
16 Bytes
Memória Alocada Memória Adjacente
Montparnasse
derailment [1895]
Green Hat
Segurança da Informação
www.clavis.com.br
17
Inspeção de Código e Programação Segura
Análise de Vulnerabilidades: Buffer overflow
• Ocorre quando o limite de buffer é negligenciado e não-verificado

• Pode ocorrer em qualquer segmento de memória

• Pode ser explorado para modificar:

• variável

• ponteiro de dados

• ponteiro de função

• endereço de retorno na pilha
Green Hat
Segurança da Informação
www.clavis.com.br
18
Inspeção de Código e Programação Segura
Análise de Vulnerabilidades: Buffer overflow
printf(“Nome:.n"); 

rc = scanf("%s", registro[idx].nome);

if (rc != 1) { 

printf(“Entrada inválida.n");

exit(1); 

}
Green Hat
Segurança da Informação
www.clavis.com.br
19
Inspeção de Código e Programação Segura
Análise de Vulnerabilidades: Buffer overflow
printf(“Nome:.n"); 

rc = scanf("%s", registro[idx].nome);

if (rc != 1) { 

printf(“Entrada inválida.n");

exit(1); 

} 
 Captura até acabar a entrada ou
encontrar um espaço
Green Hat
Segurança da Informação
www.clavis.com.br
20
Inspeção de Código e Programação Segura
Análise de Vulnerabilidades: Buffer overflow
void* rp; 

... 

printf(“Nome:.n");

rp = fgets(registro[idx].nome, sizeof(registro[idx].nome), stdin);

if(rp == NULL) { 

printf(“Entrada inválida.n"); 

exit(1);

} 
 Captura até acabar a entrada ou
atingir o limite do buffer
Green Hat
Segurança da Informação
www.clavis.com.br
21
Uma entrada de usuário maliciosa é enviada para algum processador:
Inspeção de Código e Programação Segura
Análise de Vulnerabilidades: Injeção
Processador Tipo de Injeção
HTML Parser (inc. navegador) Cross-Site Scripting (XSS)
Shell OS Command
C printf () Format String
Banco de Dados SQL
Função de acesso a arquivo (fopen()) Pathname
Green Hat
Segurança da Informação
www.clavis.com.br
22
Inspeção de Código e Programação Segura
Análise de Vulnerabilidades: Injeção SQL
• Programas devem tomar medidas para garantir que quaisquer
dados que cruzem uma fronteira de confiança sejam apropriados e
não-malicioso
Green Hat
Segurança da Informação
www.clavis.com.br
23
Inspeção de Código e Programação Segura
Análise de Vulnerabilidades: Injeção SQL
boolean isPasswordCorrect(String name, char[] password) throws SQLException,
ClassNotFoundException { 

Connection connection = getConnection(); ... 

String pwd = new String(password);

String sqlString = "SELECT * FROM Users WHERE name = '” + name + "' AND
password = '" + pwd + "'"; 

Statement stmt = connection.createStatement(); 

ResultSet rs = stmt.executeQuery(sqlString); 

if (!rs.next()) 

return false;

}
Green Hat
Segurança da Informação
www.clavis.com.br
boolean isPasswordCorrect(String name, char[] password) throws SQLException,
ClassNotFoundException { 

Connection connection = getConnection(); ... 

String pwd = new String(password);

String sqlString = "SELECT * FROM Users WHERE name = '” + name + "' AND
password = '" + pwd + "'"; 

Statement stmt = connection.createStatement(); 

ResultSet rs = stmt.executeQuery(sqlString); 

if (!rs.next()) 

return false;

} 

24
Inspeção de Código e Programação Segura
Análise de Vulnerabilidades: Injeção SQL
Green Hat
Segurança da Informação
www.clavis.com.br
boolean isPasswordCorrect(String name, char[] password) throws SQLException,
ClassNotFoundException { 

Connection connection = getConnection(); ... 

String pwd = new String(password);

String sqlString = "SELECT * FROM Users WHERE name = '” + name + "' AND
password = '" + pwd + "'"; 

Statement stmt = connection.createStatement(); 

ResultSet rs = stmt.executeQuery(sqlString); 

if (!rs.next()) 

return false;

} 

25
Inspeção de Código e Programação Segura
Análise de Vulnerabilidades: Injeção SQL
name e password não foram tratados!
Green Hat
Segurança da Informação
www.clavis.com.br
boolean isPasswordCorrect(String name, char[] password) throws SQLException,
ClassNotFoundException { 

Connection connection = getConnection(); ... 

String pwd = new String(password);

String sqlString = "SELECT * FROM Users WHERE name=? AND password=?"; 

PreparedStatement stmt = connection.prepareStatement(sqlString); 

stmt.setString(1, name); 

stmt.setString(2, pwd);

ResultSet rs = stmt.executeQuery(); 

if (!rs.next()) {

return false;

} 

26
Inspeção de Código e Programação Segura
Análise de Vulnerabilidades: Injeção SQL
sanitização da entrada =)
Green Hat
Segurança da Informação
www.clavis.com.br
27
Inspeção de Código e Programação Segura
Análise Dinâmica: Análise do Fluxo de Controle e Dados
Green Hat
Segurança da Informação
www.clavis.com.br
28
Inspeção de Código e Programação Segura
Análise Dinâmica: Propagação de Atributos e Execução Simbólica
Green Hat
Segurança da Informação
www.clavis.com.br
29
• Resistir à engenharia reversa estática e dinâmica

• Resistir à modificações não autorizadas

• Resistir à clonagem de software

• Resistir ao spoofing

• Esconder segredos estáticos e dinâmicos (criação, transmissão, utilização)

• Impedir a distribuição de programas “crackeados”

• Ofuscação — proteção contra engenharia reversa 

• Incorruptibilidade — proteção contra modificação/monitoramento

• Marca d’água — identificação de autoria e rastreamento de propriedade
Proteção de Software
Green Hat
Segurança da Informação
www.clavis.com.br
30
Ofuscação
Marca d’água Incorruptibilidade
Proteção de Software
Green Hat
Segurança da Informação
www.clavis.com.br
Ofuscação: movfuscator
The M/o/Vfuscator compiles programs into "mov" instructions,
and only "mov" instructions. Arithmetic, comparisons, jumps,
function calls, and everything else a program needs are all
performed through mov operations; there is no self-modifying
code, no transport-triggered calculation, and no other form of
non-mov cheating
31
Green Hat
Segurança da Informação
www.clavis.com.br
Movfuscator: Grafo de Fluxo de Controle 32
Green Hat
Segurança da Informação
www.clavis.com.br
Incorruptibilidade 33
Green Hat
Segurança da Informação
www.clavis.com.br
Marca d’água e Impressão Digital 34
Como?Para quê?
Green Hat
Segurança da Informação
www.clavis.com.br
Marca d’água e Impressão Digital: CFG 35
Green Hat
Segurança da Informação
www.clavis.com.br
Conclusões
• A iminência de falhas de software em infraestruturas críticas, aplicações e
serviços aumenta a necessidade de

• Novas regulamentações referentes à segurança de software

• Serviços, metodologias e ferramentas para avaliação de segurança

• Treinamento/conscientização em desenvolvimento seguro

36
Green Hat
Segurança da informação
www.clavis.com.br
Muito Obrigado!
37
davidson@clavis.com.br
Davidson R. Boccardo
Diretor do Green Hat Labs

Mais conteúdo relacionado

Mais procurados

[DevSecOps Live] DevSecOps: Challenges and Opportunities
[DevSecOps Live] DevSecOps: Challenges and Opportunities[DevSecOps Live] DevSecOps: Challenges and Opportunities
[DevSecOps Live] DevSecOps: Challenges and OpportunitiesMohammed A. Imran
 
NIST cybersecurity framework
NIST cybersecurity frameworkNIST cybersecurity framework
NIST cybersecurity frameworkShriya Rai
 
DevSecOps Implementation Journey
DevSecOps Implementation JourneyDevSecOps Implementation Journey
DevSecOps Implementation JourneyDevOps Indonesia
 
Practical DevSecOps Course - Part 1
Practical DevSecOps Course - Part 1Practical DevSecOps Course - Part 1
Practical DevSecOps Course - Part 1Mohammed A. Imran
 
Introduction to DevSecOps
Introduction to DevSecOpsIntroduction to DevSecOps
Introduction to DevSecOpsSetu Parimi
 
Cyber Security Maturity Assessment
 Cyber Security Maturity Assessment Cyber Security Maturity Assessment
Cyber Security Maturity AssessmentDoreen Loeber
 
Shift Left Security
Shift Left SecurityShift Left Security
Shift Left SecurityBATbern
 
DevOpsDays Brasilia - DevSecOps: Adotando uma cultura de segurança ágil
DevOpsDays Brasilia - DevSecOps: Adotando uma cultura de segurança ágilDevOpsDays Brasilia - DevSecOps: Adotando uma cultura de segurança ágil
DevOpsDays Brasilia - DevSecOps: Adotando uma cultura de segurança ágilBruno Dantas
 
Threat Modeling workshop by Robert Hurlbut
Threat Modeling workshop by Robert HurlbutThreat Modeling workshop by Robert Hurlbut
Threat Modeling workshop by Robert HurlbutDevSecCon
 
SOC: Use cases and are we asking the right questions?
SOC: Use cases and are we asking the right questions?SOC: Use cases and are we asking the right questions?
SOC: Use cases and are we asking the right questions?Jonathan Sinclair
 
Meaningfull security metrics
Meaningfull security metricsMeaningfull security metrics
Meaningfull security metricsVladimir Jirasek
 
Security champions v1.0
Security champions v1.0Security champions v1.0
Security champions v1.0Dinis Cruz
 
Next-Gen security operation center
Next-Gen security operation centerNext-Gen security operation center
Next-Gen security operation centerMuhammad Sahputra
 

Mais procurados (20)

[DevSecOps Live] DevSecOps: Challenges and Opportunities
[DevSecOps Live] DevSecOps: Challenges and Opportunities[DevSecOps Live] DevSecOps: Challenges and Opportunities
[DevSecOps Live] DevSecOps: Challenges and Opportunities
 
NIST cybersecurity framework
NIST cybersecurity frameworkNIST cybersecurity framework
NIST cybersecurity framework
 
DevSecOps Implementation Journey
DevSecOps Implementation JourneyDevSecOps Implementation Journey
DevSecOps Implementation Journey
 
Practical DevSecOps Course - Part 1
Practical DevSecOps Course - Part 1Practical DevSecOps Course - Part 1
Practical DevSecOps Course - Part 1
 
DevSecOps What Why and How
DevSecOps What Why and HowDevSecOps What Why and How
DevSecOps What Why and How
 
Introduction to DevSecOps
Introduction to DevSecOpsIntroduction to DevSecOps
Introduction to DevSecOps
 
Secure Code Review 101
Secure Code Review 101Secure Code Review 101
Secure Code Review 101
 
Cyber Security Maturity Assessment
 Cyber Security Maturity Assessment Cyber Security Maturity Assessment
Cyber Security Maturity Assessment
 
Shift Left Security
Shift Left SecurityShift Left Security
Shift Left Security
 
The State of DevSecOps
The State of DevSecOpsThe State of DevSecOps
The State of DevSecOps
 
DevOpsDays Brasilia - DevSecOps: Adotando uma cultura de segurança ágil
DevOpsDays Brasilia - DevSecOps: Adotando uma cultura de segurança ágilDevOpsDays Brasilia - DevSecOps: Adotando uma cultura de segurança ágil
DevOpsDays Brasilia - DevSecOps: Adotando uma cultura de segurança ágil
 
DevSecOps: What Why and How : Blackhat 2019
DevSecOps: What Why and How : Blackhat 2019DevSecOps: What Why and How : Blackhat 2019
DevSecOps: What Why and How : Blackhat 2019
 
Threat Modeling workshop by Robert Hurlbut
Threat Modeling workshop by Robert HurlbutThreat Modeling workshop by Robert Hurlbut
Threat Modeling workshop by Robert Hurlbut
 
Développement sécurisé
Développement sécuriséDéveloppement sécurisé
Développement sécurisé
 
DevSecOps
DevSecOpsDevSecOps
DevSecOps
 
DEVSECOPS.pptx
DEVSECOPS.pptxDEVSECOPS.pptx
DEVSECOPS.pptx
 
SOC: Use cases and are we asking the right questions?
SOC: Use cases and are we asking the right questions?SOC: Use cases and are we asking the right questions?
SOC: Use cases and are we asking the right questions?
 
Meaningfull security metrics
Meaningfull security metricsMeaningfull security metrics
Meaningfull security metrics
 
Security champions v1.0
Security champions v1.0Security champions v1.0
Security champions v1.0
 
Next-Gen security operation center
Next-Gen security operation centerNext-Gen security operation center
Next-Gen security operation center
 

Destaque

Big Data e Segurança da Informação - 10o Workshop SegInfo - Apresentação
Big Data e Segurança da Informação - 10o Workshop SegInfo - ApresentaçãoBig Data e Segurança da Informação - 10o Workshop SegInfo - Apresentação
Big Data e Segurança da Informação - 10o Workshop SegInfo - ApresentaçãoClavis Segurança da Informação
 
A maldição do local admin - 10o Workshop SegInfo - Apresentação
A maldição do local admin - 10o Workshop SegInfo - ApresentaçãoA maldição do local admin - 10o Workshop SegInfo - Apresentação
A maldição do local admin - 10o Workshop SegInfo - ApresentaçãoClavis Segurança da Informação
 
Adoção do PCI no Brasil - 10o Workshop SegInfo - Apresentação
Adoção do PCI no Brasil - 10o Workshop SegInfo - ApresentaçãoAdoção do PCI no Brasil - 10o Workshop SegInfo - Apresentação
Adoção do PCI no Brasil - 10o Workshop SegInfo - ApresentaçãoClavis Segurança da Informação
 
Analisando eventos de forma inteligente para detecção de intrusos usando ELK
Analisando eventos de forma inteligente para detecção de intrusos usando ELKAnalisando eventos de forma inteligente para detecção de intrusos usando ELK
Analisando eventos de forma inteligente para detecção de intrusos usando ELKSegInfo
 
Webinar #27 - Curso Permanente ComPTIA Security+ Exame SY0 401
Webinar #27 - Curso Permanente ComPTIA Security+ Exame SY0 401Webinar #27 - Curso Permanente ComPTIA Security+ Exame SY0 401
Webinar #27 - Curso Permanente ComPTIA Security+ Exame SY0 401Clavis Segurança da Informação
 
Aprendendo a atacar (e proteger) aplicações web através de jogos de guerra
Aprendendo a atacar (e proteger) aplicações web através de jogos de guerraAprendendo a atacar (e proteger) aplicações web através de jogos de guerra
Aprendendo a atacar (e proteger) aplicações web através de jogos de guerraClavis Segurança da Informação
 
Segurança PHP - por Samyr Abdo
Segurança PHP - por Samyr AbdoSegurança PHP - por Samyr Abdo
Segurança PHP - por Samyr AbdoSamyr Abdo
 
Segurança da Informação e Estrutura de Redes - Café Empresarial 15/05
Segurança da Informação e Estrutura de Redes - Café Empresarial 15/05 Segurança da Informação e Estrutura de Redes - Café Empresarial 15/05
Segurança da Informação e Estrutura de Redes - Café Empresarial 15/05 sucesuminas
 
Roadsec PRO - Segurança Cibernética Através da ITIL Security
Roadsec PRO - Segurança Cibernética Através da ITIL SecurityRoadsec PRO - Segurança Cibernética Através da ITIL Security
Roadsec PRO - Segurança Cibernética Através da ITIL SecurityRafael Maia
 
Introdução a Segurança da Informação e mecanismos de Proteção
Introdução a Segurança da Informação e mecanismos de ProteçãoIntrodução a Segurança da Informação e mecanismos de Proteção
Introdução a Segurança da Informação e mecanismos de ProteçãoNeemias Lopes
 
Segurança da informação
Segurança da informaçãoSegurança da informação
Segurança da informaçãoimsp2000
 
Entendendo como as Mídias Socias Revolucionaram os Ataques de Força Bruta
Entendendo como as Mídias Socias Revolucionaram os Ataques de Força BrutaEntendendo como as Mídias Socias Revolucionaram os Ataques de Força Bruta
Entendendo como as Mídias Socias Revolucionaram os Ataques de Força BrutaClavis Segurança da Informação
 
Segurança da informação golpes, ataques e riscos
Segurança da informação golpes, ataques e riscosSegurança da informação golpes, ataques e riscos
Segurança da informação golpes, ataques e riscosGleiner Pelluzzi
 
Descobrindo (e Explorando) Vulnerabilidades em Aplicações Web com o Wmap
Descobrindo (e Explorando) Vulnerabilidades em Aplicações Web com o WmapDescobrindo (e Explorando) Vulnerabilidades em Aplicações Web com o Wmap
Descobrindo (e Explorando) Vulnerabilidades em Aplicações Web com o WmapClavis Segurança da Informação
 
Experiência e Cases com Auditorias Teste de Invasão em Redes e Sistemas
Experiência e Cases com Auditorias Teste de Invasão em Redes e SistemasExperiência e Cases com Auditorias Teste de Invasão em Redes e Sistemas
Experiência e Cases com Auditorias Teste de Invasão em Redes e SistemasClavis Segurança da Informação
 
Crimes digitais e Seguranca da Informacao OAB Santos
Crimes digitais e Seguranca da Informacao OAB SantosCrimes digitais e Seguranca da Informacao OAB Santos
Crimes digitais e Seguranca da Informacao OAB SantosVaine Luiz Barreira, MBA
 
Apostila completa-de-php5-mysql-e-ajax
Apostila completa-de-php5-mysql-e-ajaxApostila completa-de-php5-mysql-e-ajax
Apostila completa-de-php5-mysql-e-ajaxhkm4e
 
(Transformar 16) aspectos financeiros 2.1
(Transformar 16) aspectos financeiros 2.1(Transformar 16) aspectos financeiros 2.1
(Transformar 16) aspectos financeiros 2.1Ink_conteudos
 
Segurança em PHP - Blinde seu código de você mesmo!
Segurança em PHP - Blinde seu código de você mesmo!Segurança em PHP - Blinde seu código de você mesmo!
Segurança em PHP - Blinde seu código de você mesmo!Gustavo Neves
 

Destaque (20)

Big Data e Segurança da Informação - 10o Workshop SegInfo - Apresentação
Big Data e Segurança da Informação - 10o Workshop SegInfo - ApresentaçãoBig Data e Segurança da Informação - 10o Workshop SegInfo - Apresentação
Big Data e Segurança da Informação - 10o Workshop SegInfo - Apresentação
 
A maldição do local admin - 10o Workshop SegInfo - Apresentação
A maldição do local admin - 10o Workshop SegInfo - ApresentaçãoA maldição do local admin - 10o Workshop SegInfo - Apresentação
A maldição do local admin - 10o Workshop SegInfo - Apresentação
 
Adoção do PCI no Brasil - 10o Workshop SegInfo - Apresentação
Adoção do PCI no Brasil - 10o Workshop SegInfo - ApresentaçãoAdoção do PCI no Brasil - 10o Workshop SegInfo - Apresentação
Adoção do PCI no Brasil - 10o Workshop SegInfo - Apresentação
 
Analisando eventos de forma inteligente para detecção de intrusos usando ELK
Analisando eventos de forma inteligente para detecção de intrusos usando ELKAnalisando eventos de forma inteligente para detecção de intrusos usando ELK
Analisando eventos de forma inteligente para detecção de intrusos usando ELK
 
Webinar #27 - Curso Permanente ComPTIA Security+ Exame SY0 401
Webinar #27 - Curso Permanente ComPTIA Security+ Exame SY0 401Webinar #27 - Curso Permanente ComPTIA Security+ Exame SY0 401
Webinar #27 - Curso Permanente ComPTIA Security+ Exame SY0 401
 
Palestra GlobalSign
Palestra GlobalSignPalestra GlobalSign
Palestra GlobalSign
 
Aprendendo a atacar (e proteger) aplicações web através de jogos de guerra
Aprendendo a atacar (e proteger) aplicações web através de jogos de guerraAprendendo a atacar (e proteger) aplicações web através de jogos de guerra
Aprendendo a atacar (e proteger) aplicações web através de jogos de guerra
 
Segurança PHP - por Samyr Abdo
Segurança PHP - por Samyr AbdoSegurança PHP - por Samyr Abdo
Segurança PHP - por Samyr Abdo
 
Segurança da Informação e Estrutura de Redes - Café Empresarial 15/05
Segurança da Informação e Estrutura de Redes - Café Empresarial 15/05 Segurança da Informação e Estrutura de Redes - Café Empresarial 15/05
Segurança da Informação e Estrutura de Redes - Café Empresarial 15/05
 
Roadsec PRO - Segurança Cibernética Através da ITIL Security
Roadsec PRO - Segurança Cibernética Através da ITIL SecurityRoadsec PRO - Segurança Cibernética Através da ITIL Security
Roadsec PRO - Segurança Cibernética Através da ITIL Security
 
Introdução a Segurança da Informação e mecanismos de Proteção
Introdução a Segurança da Informação e mecanismos de ProteçãoIntrodução a Segurança da Informação e mecanismos de Proteção
Introdução a Segurança da Informação e mecanismos de Proteção
 
Segurança da informação
Segurança da informaçãoSegurança da informação
Segurança da informação
 
Entendendo como as Mídias Socias Revolucionaram os Ataques de Força Bruta
Entendendo como as Mídias Socias Revolucionaram os Ataques de Força BrutaEntendendo como as Mídias Socias Revolucionaram os Ataques de Força Bruta
Entendendo como as Mídias Socias Revolucionaram os Ataques de Força Bruta
 
Segurança da informação golpes, ataques e riscos
Segurança da informação golpes, ataques e riscosSegurança da informação golpes, ataques e riscos
Segurança da informação golpes, ataques e riscos
 
Descobrindo (e Explorando) Vulnerabilidades em Aplicações Web com o Wmap
Descobrindo (e Explorando) Vulnerabilidades em Aplicações Web com o WmapDescobrindo (e Explorando) Vulnerabilidades em Aplicações Web com o Wmap
Descobrindo (e Explorando) Vulnerabilidades em Aplicações Web com o Wmap
 
Experiência e Cases com Auditorias Teste de Invasão em Redes e Sistemas
Experiência e Cases com Auditorias Teste de Invasão em Redes e SistemasExperiência e Cases com Auditorias Teste de Invasão em Redes e Sistemas
Experiência e Cases com Auditorias Teste de Invasão em Redes e Sistemas
 
Crimes digitais e Seguranca da Informacao OAB Santos
Crimes digitais e Seguranca da Informacao OAB SantosCrimes digitais e Seguranca da Informacao OAB Santos
Crimes digitais e Seguranca da Informacao OAB Santos
 
Apostila completa-de-php5-mysql-e-ajax
Apostila completa-de-php5-mysql-e-ajaxApostila completa-de-php5-mysql-e-ajax
Apostila completa-de-php5-mysql-e-ajax
 
(Transformar 16) aspectos financeiros 2.1
(Transformar 16) aspectos financeiros 2.1(Transformar 16) aspectos financeiros 2.1
(Transformar 16) aspectos financeiros 2.1
 
Segurança em PHP - Blinde seu código de você mesmo!
Segurança em PHP - Blinde seu código de você mesmo!Segurança em PHP - Blinde seu código de você mesmo!
Segurança em PHP - Blinde seu código de você mesmo!
 

Semelhante a Desenvolvimento Seguro de Software - 10o Workshop SegInfo - Apresentação

Global Azure Bootcamp - Recursos de Segurança para Aplicações no Azure
Global Azure Bootcamp - Recursos de Segurança para Aplicações no AzureGlobal Azure Bootcamp - Recursos de Segurança para Aplicações no Azure
Global Azure Bootcamp - Recursos de Segurança para Aplicações no AzureRubens Guimarães - MTAC MVP
 
Rio Info 2009 - Green Hat Segurança da Informação - Bruno Salgado Guimarães
Rio Info 2009 - Green Hat Segurança da Informação - Bruno Salgado GuimarãesRio Info 2009 - Green Hat Segurança da Informação - Bruno Salgado Guimarães
Rio Info 2009 - Green Hat Segurança da Informação - Bruno Salgado GuimarãesRio Info
 
Aula 05 - Curso GRATUITO EAD de Desenvolvimento Seguro de Software com Alcyon...
Aula 05 - Curso GRATUITO EAD de Desenvolvimento Seguro de Software com Alcyon...Aula 05 - Curso GRATUITO EAD de Desenvolvimento Seguro de Software com Alcyon...
Aula 05 - Curso GRATUITO EAD de Desenvolvimento Seguro de Software com Alcyon...Alcyon Ferreira de Souza Junior, MSc
 
API - Security and speed at layer 7 integrated in zabbix.
API - Security and speed at layer 7 integrated in zabbix.API - Security and speed at layer 7 integrated in zabbix.
API - Security and speed at layer 7 integrated in zabbix.Thomás Capiotti
 
Aplicações Web ‐ Seu site está seguro?
Aplicações Web ‐ Seu site está seguro?Aplicações Web ‐ Seu site está seguro?
Aplicações Web ‐ Seu site está seguro?Alex Hübner
 
Gerenciamento de Vulnerabilidades em Aplicações e Servidores Web
Gerenciamento de Vulnerabilidades em Aplicações e Servidores WebGerenciamento de Vulnerabilidades em Aplicações e Servidores Web
Gerenciamento de Vulnerabilidades em Aplicações e Servidores WebEduardo Lanna
 
Segurança de Rede na Era do Software Livre
Segurança de Rede na Era do Software LivreSegurança de Rede na Era do Software Livre
Segurança de Rede na Era do Software LivreMarcelo Piuma
 
Segurança da Informação na era do Software Livre - FLISOL DF 2011
 Segurança da Informação na era do Software Livre - FLISOL DF 2011 Segurança da Informação na era do Software Livre - FLISOL DF 2011
Segurança da Informação na era do Software Livre - FLISOL DF 2011Alcyon Ferreira de Souza Junior, MSc
 
Workshop Web - Do Pensamento ao Desenvolvimento - Design, Programação e Banco...
Workshop Web - Do Pensamento ao Desenvolvimento - Design, Programação e Banco...Workshop Web - Do Pensamento ao Desenvolvimento - Design, Programação e Banco...
Workshop Web - Do Pensamento ao Desenvolvimento - Design, Programação e Banco...Rubens Guimarães - MTAC MVP
 
Projeto de Avaliação de Segurança de TI
Projeto de Avaliação de Segurança de TIProjeto de Avaliação de Segurança de TI
Projeto de Avaliação de Segurança de TIMessias Dias Teixeira
 
Seguranca e Criptografia de Dados
Seguranca e Criptografia de DadosSeguranca e Criptografia de Dados
Seguranca e Criptografia de DadosFelipe Plattek
 
[GUTS-RS] - Testes de Segurança: O que preciso saber para planejar
 [GUTS-RS] - Testes de Segurança: O que preciso saber para planejar [GUTS-RS] - Testes de Segurança: O que preciso saber para planejar
[GUTS-RS] - Testes de Segurança: O que preciso saber para planejarGUTS-RS
 
Segurança no Desenvolvimento WEB - Técnicas Profissionais
Segurança no Desenvolvimento WEB - Técnicas ProfissionaisSegurança no Desenvolvimento WEB - Técnicas Profissionais
Segurança no Desenvolvimento WEB - Técnicas ProfissionaisRubens Guimarães - MTAC MVP
 

Semelhante a Desenvolvimento Seguro de Software - 10o Workshop SegInfo - Apresentação (20)

Global Azure Bootcamp - Recursos de Segurança para Aplicações no Azure
Global Azure Bootcamp - Recursos de Segurança para Aplicações no AzureGlobal Azure Bootcamp - Recursos de Segurança para Aplicações no Azure
Global Azure Bootcamp - Recursos de Segurança para Aplicações no Azure
 
Testes de Segurança de Software (tech-ed 2008)
Testes de Segurança de Software (tech-ed 2008)Testes de Segurança de Software (tech-ed 2008)
Testes de Segurança de Software (tech-ed 2008)
 
Rio Info 2009 - Green Hat Segurança da Informação - Bruno Salgado Guimarães
Rio Info 2009 - Green Hat Segurança da Informação - Bruno Salgado GuimarãesRio Info 2009 - Green Hat Segurança da Informação - Bruno Salgado Guimarães
Rio Info 2009 - Green Hat Segurança da Informação - Bruno Salgado Guimarães
 
Aula 05 - Curso GRATUITO EAD de Desenvolvimento Seguro de Software com Alcyon...
Aula 05 - Curso GRATUITO EAD de Desenvolvimento Seguro de Software com Alcyon...Aula 05 - Curso GRATUITO EAD de Desenvolvimento Seguro de Software com Alcyon...
Aula 05 - Curso GRATUITO EAD de Desenvolvimento Seguro de Software com Alcyon...
 
API - Security and speed at layer 7 integrated in zabbix.
API - Security and speed at layer 7 integrated in zabbix.API - Security and speed at layer 7 integrated in zabbix.
API - Security and speed at layer 7 integrated in zabbix.
 
Java security
Java securityJava security
Java security
 
Seguranca 2011 uva
Seguranca 2011 uvaSeguranca 2011 uva
Seguranca 2011 uva
 
Aplicações Web ‐ Seu site está seguro?
Aplicações Web ‐ Seu site está seguro?Aplicações Web ‐ Seu site está seguro?
Aplicações Web ‐ Seu site está seguro?
 
Secure Any Cloud
Secure Any CloudSecure Any Cloud
Secure Any Cloud
 
Analysis of vulnerabilities in web applications - LinuxCon Brazil 2010
Analysis of vulnerabilities in web applications - LinuxCon Brazil 2010Analysis of vulnerabilities in web applications - LinuxCon Brazil 2010
Analysis of vulnerabilities in web applications - LinuxCon Brazil 2010
 
Gerenciamento de Vulnerabilidades em Aplicações e Servidores Web
Gerenciamento de Vulnerabilidades em Aplicações e Servidores WebGerenciamento de Vulnerabilidades em Aplicações e Servidores Web
Gerenciamento de Vulnerabilidades em Aplicações e Servidores Web
 
Segurança de Rede na Era do Software Livre
Segurança de Rede na Era do Software LivreSegurança de Rede na Era do Software Livre
Segurança de Rede na Era do Software Livre
 
Segurança de Rede
Segurança de RedeSegurança de Rede
Segurança de Rede
 
Segurança da Informação na era do Software Livre - FLISOL DF 2011
 Segurança da Informação na era do Software Livre - FLISOL DF 2011 Segurança da Informação na era do Software Livre - FLISOL DF 2011
Segurança da Informação na era do Software Livre - FLISOL DF 2011
 
Workshop Web - Do Pensamento ao Desenvolvimento - Design, Programação e Banco...
Workshop Web - Do Pensamento ao Desenvolvimento - Design, Programação e Banco...Workshop Web - Do Pensamento ao Desenvolvimento - Design, Programação e Banco...
Workshop Web - Do Pensamento ao Desenvolvimento - Design, Programação e Banco...
 
Projeto de Avaliação de Segurança de TI
Projeto de Avaliação de Segurança de TIProjeto de Avaliação de Segurança de TI
Projeto de Avaliação de Segurança de TI
 
Seguranca e Criptografia de Dados
Seguranca e Criptografia de DadosSeguranca e Criptografia de Dados
Seguranca e Criptografia de Dados
 
[GUTS-RS] - Testes de Segurança: O que preciso saber para planejar
 [GUTS-RS] - Testes de Segurança: O que preciso saber para planejar [GUTS-RS] - Testes de Segurança: O que preciso saber para planejar
[GUTS-RS] - Testes de Segurança: O que preciso saber para planejar
 
Segurança no Desenvolvimento WEB - Técnicas Profissionais
Segurança no Desenvolvimento WEB - Técnicas ProfissionaisSegurança no Desenvolvimento WEB - Técnicas Profissionais
Segurança no Desenvolvimento WEB - Técnicas Profissionais
 
Segurança em PHP
Segurança em PHPSegurança em PHP
Segurança em PHP
 

Mais de Clavis Segurança da Informação

Resposta a Incidentes | Mind The Sec 2022 com Rodrigo Montoro
Resposta a Incidentes | Mind The Sec 2022 com Rodrigo MontoroResposta a Incidentes | Mind The Sec 2022 com Rodrigo Montoro
Resposta a Incidentes | Mind The Sec 2022 com Rodrigo MontoroClavis Segurança da Informação
 
Clavis e Cyberark promovem almoço para sobre soluções para a área de Seguranç...
Clavis e Cyberark promovem almoço para sobre soluções para a área de Seguranç...Clavis e Cyberark promovem almoço para sobre soluções para a área de Seguranç...
Clavis e Cyberark promovem almoço para sobre soluções para a área de Seguranç...Clavis Segurança da Informação
 
Manobras Evasivas: Técnicas de Evasão para Varreduras com o Nmap
Manobras Evasivas: Técnicas de Evasão para Varreduras com o NmapManobras Evasivas: Técnicas de Evasão para Varreduras com o Nmap
Manobras Evasivas: Técnicas de Evasão para Varreduras com o NmapClavis Segurança da Informação
 
Tutorial: Principais Vulnerabilidades em Aplicações Web – Rafael Soares Ferre...
Tutorial: Principais Vulnerabilidades em Aplicações Web – Rafael Soares Ferre...Tutorial: Principais Vulnerabilidades em Aplicações Web – Rafael Soares Ferre...
Tutorial: Principais Vulnerabilidades em Aplicações Web – Rafael Soares Ferre...Clavis Segurança da Informação
 
Testes de Invasão ajudam a alcançar a conformidade - Segurança da Informação
Testes de Invasão ajudam a alcançar a conformidade - Segurança da InformaçãoTestes de Invasão ajudam a alcançar a conformidade - Segurança da Informação
Testes de Invasão ajudam a alcançar a conformidade - Segurança da InformaçãoClavis Segurança da Informação
 
Gerenciamento de Vulnerabilidades em Redes Corporativas - CNASI - DF
Gerenciamento de Vulnerabilidades em Redes Corporativas - CNASI - DFGerenciamento de Vulnerabilidades em Redes Corporativas - CNASI - DF
Gerenciamento de Vulnerabilidades em Redes Corporativas - CNASI - DFClavis Segurança da Informação
 
Impacto sobre o Negócio da Exploração de Vulnerabilidades de Injeção em Aplic...
Impacto sobre o Negócio da Exploração de Vulnerabilidades de Injeção em Aplic...Impacto sobre o Negócio da Exploração de Vulnerabilidades de Injeção em Aplic...
Impacto sobre o Negócio da Exploração de Vulnerabilidades de Injeção em Aplic...Clavis Segurança da Informação
 
Gerenciamento de Vulnerabilidades em Redes Corporativas - CNASI RJ
Gerenciamento de Vulnerabilidades em Redes Corporativas - CNASI RJ Gerenciamento de Vulnerabilidades em Redes Corporativas - CNASI RJ
Gerenciamento de Vulnerabilidades em Redes Corporativas - CNASI RJ Clavis Segurança da Informação
 
Webinar # 17 – Análise de Malware em Forense Computacional
Webinar # 17 – Análise de Malware em Forense ComputacionalWebinar # 17 – Análise de Malware em Forense Computacional
Webinar # 17 – Análise de Malware em Forense ComputacionalClavis Segurança da Informação
 
Webinar # 16 – Ataques de Força Bruta – Método Dicionário, Híbridos e Rainbow...
Webinar # 16 – Ataques de Força Bruta – Método Dicionário, Híbridos e Rainbow...Webinar # 16 – Ataques de Força Bruta – Método Dicionário, Híbridos e Rainbow...
Webinar # 16 – Ataques de Força Bruta – Método Dicionário, Híbridos e Rainbow...Clavis Segurança da Informação
 
OWASP Top 10 - Experiência e Cases com Auditorias Teste de Invasão em Aplicaç...
OWASP Top 10 - Experiência e Cases com Auditorias Teste de Invasão em Aplicaç...OWASP Top 10 - Experiência e Cases com Auditorias Teste de Invasão em Aplicaç...
OWASP Top 10 - Experiência e Cases com Auditorias Teste de Invasão em Aplicaç...Clavis Segurança da Informação
 
Palestra "Teste de Invasão com o Nmap Scripting Engine"" FISL 13
Palestra "Teste de Invasão com o Nmap Scripting Engine"" FISL 13 Palestra "Teste de Invasão com o Nmap Scripting Engine"" FISL 13
Palestra "Teste de Invasão com o Nmap Scripting Engine"" FISL 13 Clavis Segurança da Informação
 
Slides Webinar #9 As provas e as Evidências na Investigação dos Crimes Inform...
Slides Webinar #9 As provas e as Evidências na Investigação dos Crimes Inform...Slides Webinar #9 As provas e as Evidências na Investigação dos Crimes Inform...
Slides Webinar #9 As provas e as Evidências na Investigação dos Crimes Inform...Clavis Segurança da Informação
 
Palestra em parceria com o @cefet_rj – Auditoria Teste de Invasão em Aplicações
Palestra em parceria com o @cefet_rj – Auditoria Teste de Invasão em AplicaçõesPalestra em parceria com o @cefet_rj – Auditoria Teste de Invasão em Aplicações
Palestra em parceria com o @cefet_rj – Auditoria Teste de Invasão em AplicaçõesClavis Segurança da Informação
 

Mais de Clavis Segurança da Informação (20)

Cloud Summit Canada com Rodrigo Montoro
Cloud Summit Canada com Rodrigo MontoroCloud Summit Canada com Rodrigo Montoro
Cloud Summit Canada com Rodrigo Montoro
 
Resposta a Incidentes | Mind The Sec 2022 com Rodrigo Montoro
Resposta a Incidentes | Mind The Sec 2022 com Rodrigo MontoroResposta a Incidentes | Mind The Sec 2022 com Rodrigo Montoro
Resposta a Incidentes | Mind The Sec 2022 com Rodrigo Montoro
 
Palestra Clavis - Octopus
Palestra Clavis - OctopusPalestra Clavis - Octopus
Palestra Clavis - Octopus
 
Palestra Exceda - Clavis 2016
Palestra Exceda - Clavis 2016Palestra Exceda - Clavis 2016
Palestra Exceda - Clavis 2016
 
Clavis e Cyberark promovem almoço para sobre soluções para a área de Seguranç...
Clavis e Cyberark promovem almoço para sobre soluções para a área de Seguranç...Clavis e Cyberark promovem almoço para sobre soluções para a área de Seguranç...
Clavis e Cyberark promovem almoço para sobre soluções para a área de Seguranç...
 
Webinar # 21 – Análise Forense de Redes
 Webinar # 21 – Análise Forense de Redes Webinar # 21 – Análise Forense de Redes
Webinar # 21 – Análise Forense de Redes
 
Manobras Evasivas: Técnicas de Evasão para Varreduras com o Nmap
Manobras Evasivas: Técnicas de Evasão para Varreduras com o NmapManobras Evasivas: Técnicas de Evasão para Varreduras com o Nmap
Manobras Evasivas: Técnicas de Evasão para Varreduras com o Nmap
 
Tutorial: Principais Vulnerabilidades em Aplicações Web – Rafael Soares Ferre...
Tutorial: Principais Vulnerabilidades em Aplicações Web – Rafael Soares Ferre...Tutorial: Principais Vulnerabilidades em Aplicações Web – Rafael Soares Ferre...
Tutorial: Principais Vulnerabilidades em Aplicações Web – Rafael Soares Ferre...
 
Testes de Invasão ajudam a alcançar a conformidade - Segurança da Informação
Testes de Invasão ajudam a alcançar a conformidade - Segurança da InformaçãoTestes de Invasão ajudam a alcançar a conformidade - Segurança da Informação
Testes de Invasão ajudam a alcançar a conformidade - Segurança da Informação
 
Gerenciamento de Vulnerabilidades em Redes Corporativas - CNASI - DF
Gerenciamento de Vulnerabilidades em Redes Corporativas - CNASI - DFGerenciamento de Vulnerabilidades em Redes Corporativas - CNASI - DF
Gerenciamento de Vulnerabilidades em Redes Corporativas - CNASI - DF
 
Impacto sobre o Negócio da Exploração de Vulnerabilidades de Injeção em Aplic...
Impacto sobre o Negócio da Exploração de Vulnerabilidades de Injeção em Aplic...Impacto sobre o Negócio da Exploração de Vulnerabilidades de Injeção em Aplic...
Impacto sobre o Negócio da Exploração de Vulnerabilidades de Injeção em Aplic...
 
Gerenciamento de Vulnerabilidades em Redes Corporativas - CNASI RJ
Gerenciamento de Vulnerabilidades em Redes Corporativas - CNASI RJ Gerenciamento de Vulnerabilidades em Redes Corporativas - CNASI RJ
Gerenciamento de Vulnerabilidades em Redes Corporativas - CNASI RJ
 
Webinar #18 – A Nova Lei de Cibercrimes
Webinar #18 – A Nova Lei de CibercrimesWebinar #18 – A Nova Lei de Cibercrimes
Webinar #18 – A Nova Lei de Cibercrimes
 
Webinar # 17 – Análise de Malware em Forense Computacional
Webinar # 17 – Análise de Malware em Forense ComputacionalWebinar # 17 – Análise de Malware em Forense Computacional
Webinar # 17 – Análise de Malware em Forense Computacional
 
Webinar # 16 – Ataques de Força Bruta – Método Dicionário, Híbridos e Rainbow...
Webinar # 16 – Ataques de Força Bruta – Método Dicionário, Híbridos e Rainbow...Webinar # 16 – Ataques de Força Bruta – Método Dicionário, Híbridos e Rainbow...
Webinar # 16 – Ataques de Força Bruta – Método Dicionário, Híbridos e Rainbow...
 
OWASP Top 10 - Experiência e Cases com Auditorias Teste de Invasão em Aplicaç...
OWASP Top 10 - Experiência e Cases com Auditorias Teste de Invasão em Aplicaç...OWASP Top 10 - Experiência e Cases com Auditorias Teste de Invasão em Aplicaç...
OWASP Top 10 - Experiência e Cases com Auditorias Teste de Invasão em Aplicaç...
 
Palestra Auditoria de Segurança em Redes sem Fio
Palestra Auditoria de Segurança em Redes sem FioPalestra Auditoria de Segurança em Redes sem Fio
Palestra Auditoria de Segurança em Redes sem Fio
 
Palestra "Teste de Invasão com o Nmap Scripting Engine"" FISL 13
Palestra "Teste de Invasão com o Nmap Scripting Engine"" FISL 13 Palestra "Teste de Invasão com o Nmap Scripting Engine"" FISL 13
Palestra "Teste de Invasão com o Nmap Scripting Engine"" FISL 13
 
Slides Webinar #9 As provas e as Evidências na Investigação dos Crimes Inform...
Slides Webinar #9 As provas e as Evidências na Investigação dos Crimes Inform...Slides Webinar #9 As provas e as Evidências na Investigação dos Crimes Inform...
Slides Webinar #9 As provas e as Evidências na Investigação dos Crimes Inform...
 
Palestra em parceria com o @cefet_rj – Auditoria Teste de Invasão em Aplicações
Palestra em parceria com o @cefet_rj – Auditoria Teste de Invasão em AplicaçõesPalestra em parceria com o @cefet_rj – Auditoria Teste de Invasão em Aplicações
Palestra em parceria com o @cefet_rj – Auditoria Teste de Invasão em Aplicações
 

Último

[ServiceNow] Upgrade de versão - 2ª edição (Revisada, atualizada e ampliada)
[ServiceNow] Upgrade de versão - 2ª edição (Revisada, atualizada e ampliada)[ServiceNow] Upgrade de versão - 2ª edição (Revisada, atualizada e ampliada)
[ServiceNow] Upgrade de versão - 2ª edição (Revisada, atualizada e ampliada)Alessandro Almeida
 
Certificado - Data Analytics - CoderHouse.pdf
Certificado - Data Analytics - CoderHouse.pdfCertificado - Data Analytics - CoderHouse.pdf
Certificado - Data Analytics - CoderHouse.pdfLarissa Souza
 
Apresentação Power Embedded - Descubra uma nova forma de compartilhar relatór...
Apresentação Power Embedded - Descubra uma nova forma de compartilhar relatór...Apresentação Power Embedded - Descubra uma nova forma de compartilhar relatór...
Apresentação Power Embedded - Descubra uma nova forma de compartilhar relatór...Dirceu Resende
 
Concurso Caixa TI - Imersão Final - Rogério Araújo.pdf
Concurso Caixa TI - Imersão Final - Rogério Araújo.pdfConcurso Caixa TI - Imersão Final - Rogério Araújo.pdf
Concurso Caixa TI - Imersão Final - Rogério Araújo.pdfGuilhermeRodrigues896381
 
From_SEH_Overwrite_with_Egg_Hunter_to_Get_a_Shell_PT-BR.pdf
From_SEH_Overwrite_with_Egg_Hunter_to_Get_a_Shell_PT-BR.pdfFrom_SEH_Overwrite_with_Egg_Hunter_to_Get_a_Shell_PT-BR.pdf
From_SEH_Overwrite_with_Egg_Hunter_to_Get_a_Shell_PT-BR.pdfRodolpho Concurde
 
Apresentação Comercial VITAL DATA 2024.pdf
Apresentação Comercial VITAL DATA 2024.pdfApresentação Comercial VITAL DATA 2024.pdf
Apresentação Comercial VITAL DATA 2024.pdfCarlos Gomes
 

Último (6)

[ServiceNow] Upgrade de versão - 2ª edição (Revisada, atualizada e ampliada)
[ServiceNow] Upgrade de versão - 2ª edição (Revisada, atualizada e ampliada)[ServiceNow] Upgrade de versão - 2ª edição (Revisada, atualizada e ampliada)
[ServiceNow] Upgrade de versão - 2ª edição (Revisada, atualizada e ampliada)
 
Certificado - Data Analytics - CoderHouse.pdf
Certificado - Data Analytics - CoderHouse.pdfCertificado - Data Analytics - CoderHouse.pdf
Certificado - Data Analytics - CoderHouse.pdf
 
Apresentação Power Embedded - Descubra uma nova forma de compartilhar relatór...
Apresentação Power Embedded - Descubra uma nova forma de compartilhar relatór...Apresentação Power Embedded - Descubra uma nova forma de compartilhar relatór...
Apresentação Power Embedded - Descubra uma nova forma de compartilhar relatór...
 
Concurso Caixa TI - Imersão Final - Rogério Araújo.pdf
Concurso Caixa TI - Imersão Final - Rogério Araújo.pdfConcurso Caixa TI - Imersão Final - Rogério Araújo.pdf
Concurso Caixa TI - Imersão Final - Rogério Araújo.pdf
 
From_SEH_Overwrite_with_Egg_Hunter_to_Get_a_Shell_PT-BR.pdf
From_SEH_Overwrite_with_Egg_Hunter_to_Get_a_Shell_PT-BR.pdfFrom_SEH_Overwrite_with_Egg_Hunter_to_Get_a_Shell_PT-BR.pdf
From_SEH_Overwrite_with_Egg_Hunter_to_Get_a_Shell_PT-BR.pdf
 
Apresentação Comercial VITAL DATA 2024.pdf
Apresentação Comercial VITAL DATA 2024.pdfApresentação Comercial VITAL DATA 2024.pdf
Apresentação Comercial VITAL DATA 2024.pdf
 

Desenvolvimento Seguro de Software - 10o Workshop SegInfo - Apresentação

  • 2. Clavis Segurança da informação www.clavis.com.br Green Hat Segurança da Informação whoami Doutor em Engenharia Elétrica (UNESP/ULL) Instrutor dos cursos de Forense, Testes de Invasão e de Desenvolvimento Seguro, Proteção de Software Coordenador de projetos de pesquisa, orientador de alunos de mestrado/ doutorado MPMQ/PPGI - mais de 50 artigos científicos publicados Entre 2007 e 2009 trabalhou no Software Research Lab da University of Louisiana at Lafayette, na qual se especializou em análise estática e dinâmica de artefatos maliciosos Entre 2010 e 2015 desenvolveu metodologias para o Serviço de Avaliação de Produtos de Software no Laboratório de Informática da Divisão de Metrologia em Tecnologia da Informação e Telecomunicações do Inmetro 02 DAVIDSON RODRIGO BOCCARDO DIRETOR DO GREEN HAT LABS Green Hat Segurança da Informação
  • 3. Green Hat Segurança da informação www.clavis.com.br Sobre a Green Hat Análise de Segurança Orientada por Dados Análise de Código e Segurança de Software Auditorias Teste de Invasão Forense Computacional • 2009: empresa spin-off corporativa que nasceu a partir de um grupo da Clavis Segurança da Informação • 2010: Framework de Teste de Invasão (FINEP) • 2015: Auditoria de Código-Fonte e Análise Dinâmica • 2016: Análise de Código e Segurança de Software • 2016: Análise de Segurança Orientada por Dados (FAPERJ) Green Hat 01 Auditoria de Código-Fonte Análise dinâmica
  • 4. Green Hat Segurança da Informação www.clavis.com.br Segurança de Software • A economia e as defesas das nações dependem, em grande parte, da execução de software confiável • Software é onipresente! • afeta todos os aspectos de nossas vidas pessoais e profissionais • Vulnerabilidades de software também são ubíquas, comprometendo: • identidades pessoais • propriedade intelectual • confiança do consumidor • serviços empresariais e operações • infra-estruturas críticas e governo 03
  • 5. Green Hat Segurança da Informação www.clavis.com.br Falhas crescentes envolvendo software 04 [GIZMODO, 2014] [FINANCIAL TIMES, 2014]
  • 6. Green Hat Segurança da Informação www.clavis.com.br Falhas crescentes envolvendo software 05 [SLASHDOT, 2012] [REDDIT, 2014] [THEGUARDIAN, 2013]
  • 7. Green Hat Segurança da Informação www.clavis.com.br Falhas crescentes envolvendo software 06 [NEWYORKTIMES, 2011] [FORBES, 2014]
  • 8. Green Hat Segurança da Informação www.clavis.com.br Falhas de software são custosas 07 [NEWYORKTIMES, 2014] [THE WALL STREET JORNAL, 2014]
  • 9. Green Hat Segurança da Informação www.clavis.com.br • Maioria das vulnerabilidades são causadas por erros de programação • 64% das vulnerabilidades da base do NIST NVD • 51% dessas são originadas em erros clássicos como buffer overflows, cross-site scripting, falhas de injeção • Vulnerabilidades mais comuns incluem: • Integer overflow • Buffer overflow • Format string • Autenticação ausente • Autorização ausente ou incorreta • Confiar em entradas não-confiáveis 08Origem das falhas de software
  • 10. Green Hat Segurança da Informação www.clavis.com.br • Começa com o entendimento de práticas de codificação inseguras e como podem ser exploradas • Projetos inseguros podem levar a “erros intencionais”, ou seja, o código está corretamente implementado, mas o software resultante é vulnerável • Projetos seguros exigem um entendimento dos requisitos de software funcionais e não-funcionais • Codificação segura exige um entendimento específico de cada linguagem de programação 09Desenvolvimento de Software Seguro
  • 11. Green Hat Segurança da Informação www.clavis.com.br Fontes de Insegurança em Software • Considerações mínimas ou ausentes de segurança durante todo o ciclo de vida do software • Complexidade, mudanças, suposições incorretas • Não pensar como um atacante • Especificações e projetos falhos • Implementação “pobre” das interfaces de software • Interações inesperadas e não-intencionais • Conhecimento inadequado de práticas de codificação segura 10
  • 12. Green Hat Segurança da Informação www.clavis.com.br 11 • Análise de requisitos de segurança e arquitetura de software • Inspeção de código e programação segura • Análise de fluxo de controle e de dados • Análise de vulnerabilidades (CWE/SANS Top 25, OWASP Top 10) • Análise dinâmica de software e testes funcionais • Proteção de Software • Ofuscação, Incorruptibilidade e Marca d'água Análise de Código e Segurança de Software
  • 13. Green Hat Segurança da Informação www.clavis.com.br Análise de Requisitos de Segurança e Arquitetura de Software 12 • Requisitos gerais de segurança • Confidencialidade, integridade e disponibilidade • Ambiente de implantação, arquivamento, anti-pirataria • Gerenciamento de sessões, gerenciamento de erros e excessões, gerenciamento de parâmetros de configuração
 • Arquitetura de segurança • Princípios básicos de projeto seguro: redução das superfícies de ataque, falha segura, defesa em profundidade, privilégio mínimo, separação de deveres, etc… • Utilização correta de algoritmos criptográficos e protocolos de segurança
  • 14. Green Hat Segurança da Informação www.clavis.com.br Inspeção de Código e Programação Segura 13 Análise do Fluxo de Controle: Rastreabilidade de Software
  • 15. Green Hat Segurança da Informação www.clavis.com.br 14 Inspeção de Código e Programação Segura Análise do Fluxo de Controle: Funcionalidades Escondidas
  • 16. Green Hat Segurança da Informação www.clavis.com.br 15 Inspeção de Código e Programação Segura Orientações para Codificação Segura
  • 17. Green Hat Segurança da Informação www.clavis.com.br 16 Um estouro de buffer ocorre quando dados são gravados fora dos limites da memória alocada para uma estrutura de dados específica Inspeção de Código e Programação Segura Análise de Vulnerabilidades: Buffer overflow Origem Destino 16 Bytes Memória Alocada Memória Adjacente Montparnasse derailment [1895]
  • 18. Green Hat Segurança da Informação www.clavis.com.br 17 Inspeção de Código e Programação Segura Análise de Vulnerabilidades: Buffer overflow • Ocorre quando o limite de buffer é negligenciado e não-verificado • Pode ocorrer em qualquer segmento de memória • Pode ser explorado para modificar: • variável • ponteiro de dados • ponteiro de função • endereço de retorno na pilha
  • 19. Green Hat Segurança da Informação www.clavis.com.br 18 Inspeção de Código e Programação Segura Análise de Vulnerabilidades: Buffer overflow printf(“Nome:.n"); 
 rc = scanf("%s", registro[idx].nome); if (rc != 1) { printf(“Entrada inválida.n"); exit(1); }
  • 20. Green Hat Segurança da Informação www.clavis.com.br 19 Inspeção de Código e Programação Segura Análise de Vulnerabilidades: Buffer overflow printf(“Nome:.n"); 
 rc = scanf("%s", registro[idx].nome); if (rc != 1) { printf(“Entrada inválida.n"); exit(1); } Captura até acabar a entrada ou encontrar um espaço
  • 21. Green Hat Segurança da Informação www.clavis.com.br 20 Inspeção de Código e Programação Segura Análise de Vulnerabilidades: Buffer overflow void* rp; ... printf(“Nome:.n"); rp = fgets(registro[idx].nome, sizeof(registro[idx].nome), stdin); if(rp == NULL) { printf(“Entrada inválida.n"); exit(1); } Captura até acabar a entrada ou atingir o limite do buffer
  • 22. Green Hat Segurança da Informação www.clavis.com.br 21 Uma entrada de usuário maliciosa é enviada para algum processador: Inspeção de Código e Programação Segura Análise de Vulnerabilidades: Injeção Processador Tipo de Injeção HTML Parser (inc. navegador) Cross-Site Scripting (XSS) Shell OS Command C printf () Format String Banco de Dados SQL Função de acesso a arquivo (fopen()) Pathname
  • 23. Green Hat Segurança da Informação www.clavis.com.br 22 Inspeção de Código e Programação Segura Análise de Vulnerabilidades: Injeção SQL • Programas devem tomar medidas para garantir que quaisquer dados que cruzem uma fronteira de confiança sejam apropriados e não-malicioso
  • 24. Green Hat Segurança da Informação www.clavis.com.br 23 Inspeção de Código e Programação Segura Análise de Vulnerabilidades: Injeção SQL boolean isPasswordCorrect(String name, char[] password) throws SQLException, ClassNotFoundException { Connection connection = getConnection(); ... String pwd = new String(password); String sqlString = "SELECT * FROM Users WHERE name = '” + name + "' AND password = '" + pwd + "'"; Statement stmt = connection.createStatement(); ResultSet rs = stmt.executeQuery(sqlString); if (!rs.next()) return false; }
  • 25. Green Hat Segurança da Informação www.clavis.com.br boolean isPasswordCorrect(String name, char[] password) throws SQLException, ClassNotFoundException { Connection connection = getConnection(); ... String pwd = new String(password); String sqlString = "SELECT * FROM Users WHERE name = '” + name + "' AND password = '" + pwd + "'"; Statement stmt = connection.createStatement(); ResultSet rs = stmt.executeQuery(sqlString); if (!rs.next()) return false; } 24 Inspeção de Código e Programação Segura Análise de Vulnerabilidades: Injeção SQL
  • 26. Green Hat Segurança da Informação www.clavis.com.br boolean isPasswordCorrect(String name, char[] password) throws SQLException, ClassNotFoundException { Connection connection = getConnection(); ... String pwd = new String(password); String sqlString = "SELECT * FROM Users WHERE name = '” + name + "' AND password = '" + pwd + "'"; Statement stmt = connection.createStatement(); ResultSet rs = stmt.executeQuery(sqlString); if (!rs.next()) return false; } 25 Inspeção de Código e Programação Segura Análise de Vulnerabilidades: Injeção SQL name e password não foram tratados!
  • 27. Green Hat Segurança da Informação www.clavis.com.br boolean isPasswordCorrect(String name, char[] password) throws SQLException, ClassNotFoundException { Connection connection = getConnection(); ... String pwd = new String(password); String sqlString = "SELECT * FROM Users WHERE name=? AND password=?"; PreparedStatement stmt = connection.prepareStatement(sqlString); stmt.setString(1, name); stmt.setString(2, pwd);
 ResultSet rs = stmt.executeQuery(); if (!rs.next()) { return false; } 26 Inspeção de Código e Programação Segura Análise de Vulnerabilidades: Injeção SQL sanitização da entrada =)
  • 28. Green Hat Segurança da Informação www.clavis.com.br 27 Inspeção de Código e Programação Segura Análise Dinâmica: Análise do Fluxo de Controle e Dados
  • 29. Green Hat Segurança da Informação www.clavis.com.br 28 Inspeção de Código e Programação Segura Análise Dinâmica: Propagação de Atributos e Execução Simbólica
  • 30. Green Hat Segurança da Informação www.clavis.com.br 29 • Resistir à engenharia reversa estática e dinâmica • Resistir à modificações não autorizadas • Resistir à clonagem de software • Resistir ao spoofing • Esconder segredos estáticos e dinâmicos (criação, transmissão, utilização) • Impedir a distribuição de programas “crackeados” • Ofuscação — proteção contra engenharia reversa • Incorruptibilidade — proteção contra modificação/monitoramento • Marca d’água — identificação de autoria e rastreamento de propriedade Proteção de Software
  • 31. Green Hat Segurança da Informação www.clavis.com.br 30 Ofuscação Marca d’água Incorruptibilidade Proteção de Software
  • 32. Green Hat Segurança da Informação www.clavis.com.br Ofuscação: movfuscator The M/o/Vfuscator compiles programs into "mov" instructions, and only "mov" instructions. Arithmetic, comparisons, jumps, function calls, and everything else a program needs are all performed through mov operations; there is no self-modifying code, no transport-triggered calculation, and no other form of non-mov cheating 31
  • 33. Green Hat Segurança da Informação www.clavis.com.br Movfuscator: Grafo de Fluxo de Controle 32
  • 34. Green Hat Segurança da Informação www.clavis.com.br Incorruptibilidade 33
  • 35. Green Hat Segurança da Informação www.clavis.com.br Marca d’água e Impressão Digital 34 Como?Para quê?
  • 36. Green Hat Segurança da Informação www.clavis.com.br Marca d’água e Impressão Digital: CFG 35
  • 37. Green Hat Segurança da Informação www.clavis.com.br Conclusões • A iminência de falhas de software em infraestruturas críticas, aplicações e serviços aumenta a necessidade de • Novas regulamentações referentes à segurança de software • Serviços, metodologias e ferramentas para avaliação de segurança • Treinamento/conscientização em desenvolvimento seguro 36
  • 38. Green Hat Segurança da informação www.clavis.com.br Muito Obrigado! 37 davidson@clavis.com.br Davidson R. Boccardo Diretor do Green Hat Labs