2. Agenda
• Economia dos malwares
• Maiores vulnerabilidades da WEB
• Metodologia
• Tecnologia
• Frameworks, normas e padrões
• Conclusão
3. Porque proteger a WEB?
“A WEB se tornou o novo vetor de ameaças
preferido dos hackers e cyber criminosos para
distribuir malware e conseguir roubo de
identidades, fraudes financeiras e espionagem
corporativo.” -- IDC
4. Porque proteger a WEB?
• "Malware” – abreviação de malicious software
– Se refere a qualquer software desenhado para
causar estrago para um simples computador,
servidor ou rede de computadores, seja um virus,
spyware, etc…
• O Conteúdo malicioso da WEB pode expor a
empresa a custos mais elevados,
produtividade menor e problemas legais.
Uma segurança WEB efetiva resguarda os
colaboradores contra ameaças online e protege
a infra estrutura de rede.
5. A ameaça de malware está crescendo…
Malware entregado pelos Websites aumenta
• Malware acumulado
– 2007: 5.8 milhões
– 2011: 65 milhões (em junho)
Aumento de 1120%
• URLs maliciosas
– 7,300 novas URLs maliciosas por dia
• Websites Legítimos são Comprometidos
80% dos Websites tem código malicioso
*Source: McAfee Labs
6. …And Growing More Effective
Mais Variações de Ameaças de
Malware 133% Código Malicioso
em 12 meses
Das infecções de
80% malware são por
exploração de
aplicação WEB
68% Sucesso do ataque
Das infecções de aumenta!
Web 2.0
e o catalisador! Malware expõem
dados Dos Websites
confidenciais! 4% vulneráveis são
consertados!
Attack Target ataque
Objetivo do
500% De aumento dos
sites de Phishing Users vs Machines
Usuário x Computador
!
11. ESTATISTICAS DOS NIVEIS DE RISCOS
Fonte: ptresearch.blogspot.com/2010/06/web-application-vulnerability.html
12. Vulnerabilidades XSS
Relatório de X-Force da IBM:
No meio de 2012, 47% das vulnerabilidades de segurança afeta aplicações WEB
– 41% em 2011
– XSS atinge a taxa de 51%
13. OWASP Top Ten (2010 Edition)
http://www.owasp.org/index.php/Top_10
14. A1 - SQL Injection
"SELECT * FROM
Account Summary
Account:
accounts WHERE
Knowledge Mgmt
Communication
Administration
Bus. Functions
Legacy Systems
Human Resrcs
E-Commerce
Application Layer
Transactions
Web Services
SKU:
SQL acct=‘’ OR 1=1--
Directories
Acct:5424-6066-2134-4334
Databases
Accounts
Finance
HTTP
Billing
HTTP query DB Table Acct:4128-7574-3921-0192
response
’"
request
APPLICATION
Acct:5424-9383-2039-4029
Acct:4128-0004-1234-0293
ATTACK
Custom Code
1. Aplicação apresenta formulário
p/ atacante
2. Atacante envia um ataque nos
dados do formulário
App Server
3. Aplicação encaminha ataque p/
Web Server base de dados em um query SQL
Hardened OS
4. Base de dados executa o query
Network Layer
com ataque e envia o resultado
criptografado p/ aplicação
Firewall
Firewall
5. Aplicação decripta os dados
normalmente e envia o resultado
p/ usuário
16. A2 - Cross-Site Scripting
1 Atacante coloca armadilha – Atualizar Perfil
Aplicação com
Atacante coloca um script vulnerabilidade XSS
malicioso na pagina WEB
que armazena os dados no
servidor
Knowledge Mgmt
Communication
Administration
Bus. Functions
E-Commerce
Transactions
2 Vitima acessa a pagina – vê o perfil do atacante
Accounts
Finance
Custom Code
Script roda no browser da
vitima c/ total acesso a
DOM e cookies
3 Script envia silenciosamente o cookie de sessão da vitima para o atacante
17. A2 - Cross-Site Scripting
Exploração: Media
Prevalência: Muito Comum
Detecção: Fácil
Impacto: Moderado
18. A3- Broken Authentication
1 Usuário envia credenciais
Knowledge Mgmt
Communication
Administration
Bus. Functions
E-Commerce
Transactions
Accounts
Finance
www.boi.com?JSESSIONID=9FA1DB9EA...
Site usa reescrita de URL 2 Custom Code
(ex. coloca sessão na URL)
3 Usuário clica no link para http://www.hacker.com
em um fórum
Hacker checa logs no www.hacker.com
e acha JSESSIONID do usuário 4
5 Hacker utiliza JSESSIONID e
se apropria a conta da vitima
20. A4 – Referencia direta insegura a objeto
• Hacker observa o
https://www.onlinebank.com/user?acct=6065 parâmetro acct é 6065
?acct=6065
• Ele modifica para um valor
próximo
?acct=6066
• Hacker vê as informações
da conta da vitima
21. A4 – Referencia direta insegura a objeto
Exploração: Fácil
Prevalência: Comum
Detecção: Fácil
Impacto: Moderado
22. A5 – Cross Site Request Forgery (CSRF)
Hacker coloca armadilha em um site da Internet
1 (ou simplesmente via e-mail)
Aplicação com
Hidden <img> tag vulnerabilidade CSRF
contem ataque contra
site vulnerável
Knowledge Mgmt
Communication
Administration
Bus. Functions
E-Commerce
Transactions
Accounts
Finance
Quando logado no site vulnerável,
2 a vitima vê o site do Hacker
Custom Code
3
O site vulnerável vê uma
<img> tag carregada pelo requisição legitima da
browser – envia requisição vitima e executa a ação
GET (com credenciais) requisitada
para o site vulnerável
23. A5 – Cross Site Request Forgery (CSRF)
Exploração: Media
Prevalência: Comum
Detecção: Fácil
Impacto: Moderado
24. A6 – Mal configuração de Segurança
Knowledge Mgmt
Communication
Administration
Bus. Functions
E-Commerce
Transactions
Accounts
Finance
Database
Custom Code
App Configuration
Development
Framework
App Server
QA Servers
Web Server
Hardened OS
Interno Test Servers
Source Control
25. A6 – Mal configuração de Segurança
Exploração: Fácil
Prevalência: Comum
Detecção: Fácil
Impacto: Moderado
26. A7 – Armazenamento criptografado inseguro
Vitima digita numero
cartão de credito no
1 formulário
Communication
Administration
Bus. Functions
E-Commerce
Transactions
Knowledge
Accounts
Finance
Mgmt
Custom Code
Empregado Malicioso Log files
4
rouba milhões de Se Erro, logs detalhes do CC 2
números de cartão de porque, por exemplo, gateway
credito da operadora está fora
Logs são accessíveis para 3
todos os membros de TI
para debug
28. A8 – Falha de acesso a URL restrita
• Hacker observa que a URL
https://www.onlinebank.com/user/getAccounts
indica o papel
/user/getAccounts
• Ele modifica para um outro
diretório (papel)
/admin/getAccounts, ou
/manager/getAccounts
• Hacker vê mais contas do
que devia
29. A8 – Falha de acesso a URL restrita
Exploração: Fácil
Prevalência: Pouco Comum
Detecção: Media
Impacto: Moderado
30. A9 – Proteção Insuficiente da Camada de Transporte
Parceiros Negócios
Vitima externa
Custom Code Backend Systems
Colaboradores
1 2
Hacker externo Hacker interno rouba
rouba credenciais credenciais e dados
e dados fora da dentro da rede
rede interna
Hacker Externo Hacker interno
31. A9 – Proteção Insuficiente da Camada de Transporte
Exploração: Difícil
Prevalência: Comum
Detecção: Fácil
Impacto: Moderado
32. A10 –Redirects inválidos
1 Hacker envia um ataque para a vitima via email ou página web
From: Internal Revenue Service
Subject: Your Unclaimed Tax Refund Aplicação redireciona a
Our records show you have an 3 vitima p/ o site do
unclaimed federal tax refund. Please Hacker
click here to initiate your claim.
Knowledge Mgmt
Communication
Administration
Bus. Functions
E-Commerce
Transactions
Accounts
Vítima clica no link com parâmetro invalido
Finance
2
Custom Code
Request sent to vulnerable
site, including attacker’s
destination site as parameter.
Redirect sends victim to
attacker site Evil Site
4 O site malicioso instala
http://www.irs.gov/taxrefund/claim.jsp?year=2006 malware ou rouba
& … &dest=www.evilsite.com informações privadas
33. A10 –Redirects e Forwards inválidos
Exploração: Media
Prevalência: Pouco Comum
Detecção: Fácil
Impacto: Moderado
35. Agenda
• Economia dos malwares
• Maiores vulnerabilidades da WEB
• Metodologia
• Tecnologia
• Frameworks, normas e padrões
• Conclusão
36.
37. TRÊS PILARES DA SEGURANCA DA INFORMAÇÃO
• Confidencialidade
– Usuário não autorizado não pode acessar os
dados
• Integridade
– Usuário não autorizado não pode manipular os
dados
• Disponibilidade
– Usuário não autorizado não pode tornar os dados
indisponíveis para os usuários legítimos
38. Três Princípios
• Defesa em profundidade
– Vários níveis de defesa, redundantes
• Menor privilegio
– Atribuir o menos de liberdade possível
• Simplicidade
– Complexidade traz erros e vulnerabilidades
39. Duas Praticas
Filtrar as Entradas
Assegurar que os dados de entrada são validos
“Escapar” as Saídas
Assegurar que os dados de saída
não são mal interpretados
40. AMEACA
VULNERABILIDADE ATAQUE
• AMEACA: Uma ocorrência que pode danificar um ativo
• VULNERABILIDADE: fraqueza que rende possível uma ameaça
• ATAQUE: Ação que explora a vulnerabilidade
42. Questões de Segurança
• Problemas que afetam as aplicações WEB
– Validação das entradas e dos dados
– Autenticação
– Autorização
– Gestão da configuração
– Dados sensíveis
– Gestão da criptografia
– Gestão da sessão
– Log e auditoria
43. Integrar
Segurança no
ciclo de vida do desenvolvimento
44.
45. Processo de desenvolvimento WEB
• Similar ao Ciclo de Vida de Desenvolvimento
de Software
– Endereçar a complexidade dos sistemas baseados
na WEB
– Minimizar os riscos de desenvolvimento
– Lidar com mudanças
– Entregar projetos no prazo
– Fornecer retorno (feedback)
46.
47. Agenda
• Economia dos malwares
• Maiores vulnerabilidades da WEB
• Metodologia
• Tecnologia
• Frameworks, normas e padrões
• Conclusão
56. O que é um Diretório?
• O que é um diretório?
– É um banco de dados especializado com informações
descritivas baseadas em atributos e organizadas em forma
de árvore.
• Característica de um diretório:
– Resposta rápida a grande quantidade de consultas.
• Tipos de diretórios:
– De aplicações: diretório do MS Exchange, etc.
– De sistemas operacionais de rede: AD (Microsoft)
– De propósito específico: DNS
– De propósito geral: LDAP
57. O que é o LDAP?
• Lightweight Directory Access Protocol
– Protocolo Leve de Acesso a Diretórios.
– Trabalha na camada de aplicação da pilha de
protocolos TCP/IP, como por exemplo o SMTP,
HTTP, FTP, TELNET e tantos outros.
– RFCs 2251 – 2830 e 3377
– Cliente-Servidor.
– Orientado a mensagens.
58. Por que usar o LDAP?
• Integração entre sistemas Operacionais
• Interligação ( Windows , Linux, Unix , MacOS)
• Integração entre Serviços
• Serviços de e-mail, FTP , Web etc.
• Desempenho nas consultas: Desenvolvido
com ênfase na leitura, ou seja, os dados serão
lidos rapidamente por um número maior de
consultas simultâneas.
• Difundido no mercado
• Não requer hardware pesado para operações
61. Tivoli Access Manager – Web Access Control
Portal
Internet
WAS
Gateway MS IIS
Wireless
62. Tivoli Access Manager – Web Access Control
Virtual Web Namespace
Policy Object/ACL DB
Manager
Usuário/grupos
Portal
Object/ACL DB
Internet
WebSEAL WAS
Gateway MS IIS
Wireless
63. Alta disponibilidade – Alta performance
Virtual Web Namespace
Policy Object/ACL DB
Manager
Usuário/grupos
Portal
Internet
WebSEAL
WebSEAL WAS
F5 WebSEAL
Gateway MS IIS
Wireless
64. Cobertura do TAMeB
Espaço único de
objetos protegidos
Web/URL Servidor de Aplicação Pacote
• URL • WAS • Portal: Vignette
• programa CGI • WebLogic • SIEBEL
• Arquivos HTML • qualquer c/ JEE, JAAS • SAP
• Servlet Java • MS IIS • COGNOS
• Classe Java • ...
65. Possibilidades de Autenticação
• Formulário
• Autenticação Básica HTTP
• Certificado X.509 (v3)
• Token SecureId RSA
• Autenticação Header HTTP
• Customizado via API
• Mecanismo Autenticação WAP
• Re-autenticação sobre recursos sensíveis
66. Processo de Autorização
Virtual Web Namespace
Policy Object/ACL DB
Manager
Usuário/grupos
WebSEAL ACL POP Regra
ACL: permissões dos usuários / grupos
POP: características de acesso ao recurso
Regra: condição da requisição
67. Processo de Autorização
Requisição “Negar” “Negar” “Permitir/Negar”
Não Não
ACL POP Decisão
Satisfeito? Sim Satisfeito? Sim Regra?
Acesso determinado Características do Acesso determinado
pelas permissões de objeto (Horário, dinamicamente,
Usuário/Grupo audit,...) baseado nas
condições atuais
68. Agenda
• Economia dos malwares
• Maiores vulnerabilidades da WEB
• Metodologia
• Tecnologia
• Frameworks, normas e padrões
• Conclusão
74. Adoção de um padrão
Que padrão é o melhor?
• ISO e NIST custam caro para implementar corretamente
• ISO, CobIT, PCI são aplicados para empresa global
• PCI e relativamente curto, extremamente detalhado e
fácil de entender
Pode aplicar PCI –DSS para ambiente WEB não Cartão de
Credito ?
75. Agenda
• Economia dos malwares
• Maiores vulnerabilidades da WEB
• Metodologia
• Tecnologia
• Frameworks, normas e padrões
• Conclusão
78. “Seu tempo é limitado, então não perca vivendo a vida de outra pessoa. Não
seja tapeado por dogmas – que é viver pela crença de outra pessoa. Não
deixe o barulho da opinião dos outros calar sua voz interior. E mais
importante, tenha a coragem de seguir seu coração e intuição. De alguma
forma eles já sabem o que você verdadeiramente quer se tornar. Tudo o mais
é secundário”. Steve Jobs