Segurança WEBPhilippe Guillaume
Agenda•   Economia dos malwares•   Maiores vulnerabilidades da WEB•   Metodologia•   Tecnologia•   Frameworks, normas e pa...
Porque proteger a WEB?“A WEB se tornou o novo vetor de ameaçaspreferido dos hackers e cyber criminosos paradistribuir malw...
Porque proteger a WEB?• "Malware” – abreviação de malicious software   – Se refere a qualquer software desenhado para     ...
A ameaça de malware está crescendo…Malware entregado pelos Websites aumenta  • Malware acumulado    – 2007: 5.8 milhões   ...
…And Growing More Effective                                 Mais Variações de                Ameaças de                   ...
Tendência alarmante 2011                Malwares da WEB únicos encontrados                                                ...
Integrantes da economia de Malware
Agenda•   Economia dos malwares•   Maiores vulnerabilidades da WEB•   Metodologia•   Tecnologia•   Frameworks, normas e pa...
ESTATISTICAS DAS VULNERABILIDADESFonte: ptresearch.blogspot.com/2010/06/web-application-vulnerability.html
ESTATISTICAS DOS NIVEIS DE RISCOSFonte: ptresearch.blogspot.com/2010/06/web-application-vulnerability.html
Vulnerabilidades XSSRelatório de X-Force da IBM:No meio de 2012, 47% das vulnerabilidades de segurança afeta aplicações WE...
OWASP Top Ten (2010 Edition)      http://www.owasp.org/index.php/Top_10
A1 - SQL Injection                                                                                                        ...
A1 - SQL InjectionExploração: FácilPrevalência: ComumDetecção: MediaImpacto: Severo
A2 - Cross-Site Scripting        1   Atacante coloca armadilha – Atualizar Perfil                                         ...
A2 - Cross-Site ScriptingExploração: MediaPrevalência: Muito ComumDetecção: FácilImpacto: Moderado
A3- Broken Authentication                                           1    Usuário envia credenciais                        ...
A3- Broken AuthenticationExploração: MediaPrevalência: ComumDetecção: MediaImpacto: Severo
A4 – Referencia direta insegura a objeto                                            • Hacker observa ohttps://www.onlineba...
A4 – Referencia direta insegura a objetoExploração: FácilPrevalência: ComumDetecção: FácilImpacto: Moderado
A5 – Cross Site Request Forgery (CSRF)          Hacker coloca armadilha em um site da Internet      1      (ou simplesment...
A5 – Cross Site Request Forgery (CSRF)   Exploração: Media   Prevalência: Comum   Detecção: Fácil   Impacto: Moderado
A6 – Mal configuração de Segurança                                          Knowledge Mgmt                                ...
A6 – Mal configuração de SegurançaExploração: FácilPrevalência: ComumDetecção: FácilImpacto: Moderado
A7 – Armazenamento criptografado inseguro                   Vitima digita numero                   cartão de credito no   ...
A7 – Armazenamento criptografado inseguro   Exploração: Difícil   Prevalência: Pouco Comum   Detecção: Difícil   Impacto: ...
A8 – Falha de acesso a URL restrita                                              • Hacker observa que a URLhttps://www.onl...
A8 – Falha de acesso a URL restritaExploração: FácilPrevalência: Pouco ComumDetecção: MediaImpacto: Moderado
A9 – Proteção Insuficiente da Camada de Transporte                                                                    Parc...
A9 – Proteção Insuficiente da Camada de Transporte       Exploração: Difícil       Prevalência: Comum       Detecção: Fáci...
A10 –Redirects inválidos                 1   Hacker envia um ataque para a vitima via email ou página web                 ...
A10 –Redirects e Forwards inválidosExploração: MediaPrevalência: Pouco ComumDetecção: FácilImpacto: Moderado
CLICKJACKING
Agenda•   Economia dos malwares•   Maiores vulnerabilidades da WEB•   Metodologia•   Tecnologia•   Frameworks, normas e pa...
TRÊS PILARES DA SEGURANCA DA INFORMAÇÃO• Confidencialidade  – Usuário não autorizado não pode acessar os    dados• Integri...
Três Princípios• Defesa em profundidade  – Vários níveis de defesa, redundantes• Menor privilegio  – Atribuir o menos de l...
Duas Praticas          Filtrar as EntradasAssegurar que os dados de entrada são validos         “Escapar” as Saídas       ...
AMEACA     VULNERABILIDADE                      ATAQUE• AMEACA: Uma ocorrência que pode danificar um ativo• VULNERABILIDAD...
Os Ataques exploram asvulnerabilidades fazendo deuma ameaça uma Realidade
Questões de Segurança• Problemas que afetam as aplicações WEB  – Validação das entradas e dos dados  – Autenticação  – Aut...
Integrar       Segurança       nociclo de vida do desenvolvimento
Processo de desenvolvimento WEB• Similar ao Ciclo de Vida de Desenvolvimento  de Software  – Endereçar a complexidade dos ...
Agenda•   Economia dos malwares•   Maiores vulnerabilidades da WEB•   Metodologia•   Tecnologia•   Frameworks, normas e pa...
Segurança de comunicaçãoSegurança em cada trecho ou de fim-a-fim ?
Assinatura digital de mensagem
Criptografia de mensagem
SSL – Secure Socket Layer
SOAP
Segurança de Web Service (OASIS)
WS-Security
SAML – Security Assertion Markup Language
O que é um Diretório?• O que é um diretório?   – É um banco de dados especializado com informações     descritivas baseada...
O que é o LDAP?• Lightweight Directory Access Protocol  – Protocolo Leve de Acesso a Diretórios.  – Trabalha na camada de ...
Por que usar o LDAP?• Integração entre sistemas Operacionais     • Interligação ( Windows , Linux, Unix , MacOS)• Integraç...
Diretório LDAPRepresentação gráfica de parte de um diretório LDAP
Objetos do LDAP
Tivoli Access Manager – Web Access Control                                     Portal Internet                            ...
Tivoli Access Manager – Web Access Control                                               Virtual Web Namespace            ...
Alta disponibilidade – Alta performance                                                 Virtual Web Namespace            P...
Cobertura do TAMeB                                              Espaço único de                                           ...
Possibilidades de Autenticação• Formulário• Autenticação Básica HTTP• Certificado X.509 (v3)• Token SecureId RSA• Autentic...
Processo de Autorização                                             Virtual Web Namespace    Policy          Object/ACL DB...
Processo de AutorizaçãoRequisição    “Negar”                   “Negar”                “Permitir/Negar”                   N...
Agenda•   Economia dos malwares•   Maiores vulnerabilidades da WEB•   Metodologia•   Tecnologia•   Frameworks, normas e pa...
Publicações serie NT 800-..
SHERWOOD APPLIED BUSINESS SECURITY ARCHITECTURE
Adoção de um padrãoQue padrão é o melhor?• ISO e NIST custam caro para implementar corretamente• ISO, CobIT, PCI são aplic...
Agenda•   Economia dos malwares•   Maiores vulnerabilidades da WEB•   Metodologia•   Tecnologia•   Frameworks, normas e pa...
Recomendações•   Bom senso•   Conscientização•   Simplicidade•   Estudo•   Comunicação
“Seu tempo é limitado, então não perca vivendo a vida de outra pessoa. Nãoseja tapeado por dogmas – que é viver pela crenç...
Seguranca web
Seguranca web
Seguranca web
Seguranca web
Seguranca web
Seguranca web
Seguranca web
Próximos SlideShares
Carregando em…5
×

Seguranca web

308 visualizações

Publicada em

Apresentação conceitos e ferramentas para a segurança Web (aplicação e serviços)

Publicada em: Tecnologia
0 comentários
0 gostaram
Estatísticas
Notas
  • Seja o primeiro a comentar

  • Seja a primeira pessoa a gostar disto

Sem downloads
Visualizações
Visualizações totais
308
No SlideShare
0
A partir de incorporações
0
Número de incorporações
1
Ações
Compartilhamentos
0
Downloads
9
Comentários
0
Gostaram
0
Incorporações 0
Nenhuma incorporação

Nenhuma nota no slide

Seguranca web

  1. 1. Segurança WEBPhilippe Guillaume
  2. 2. Agenda• Economia dos malwares• Maiores vulnerabilidades da WEB• Metodologia• Tecnologia• Frameworks, normas e padrões• Conclusão
  3. 3. Porque proteger a WEB?“A WEB se tornou o novo vetor de ameaçaspreferido dos hackers e cyber criminosos paradistribuir malware e conseguir roubo deidentidades, fraudes financeiras e espionagemcorporativo.” -- IDC
  4. 4. Porque proteger a WEB?• "Malware” – abreviação de malicious software – Se refere a qualquer software desenhado para causar estrago para um simples computador, servidor ou rede de computadores, seja um virus, spyware, etc…• O Conteúdo malicioso da WEB pode expor a empresa a custos mais elevados, produtividade menor e problemas legais.  Uma segurança WEB efetiva resguarda oscolaboradores contra ameaças online e protege a infra estrutura de rede.
  5. 5. A ameaça de malware está crescendo…Malware entregado pelos Websites aumenta • Malware acumulado – 2007: 5.8 milhões – 2011: 65 milhões (em junho) Aumento de 1120% • URLs maliciosas – 7,300 novas URLs maliciosas por dia • Websites Legítimos são Comprometidos 80% dos Websites tem código malicioso *Source: McAfee Labs
  6. 6. …And Growing More Effective Mais Variações de Ameaças de Malware 133% Código Malicioso em 12 meses Das infecções de 80% malware são por exploração de aplicação WEB 68% Sucesso do ataque Das infecções de aumenta! Web 2.0 e o catalisador! Malware expõem dados Dos Websites confidenciais! 4% vulneráveis são consertados! Attack Target ataque Objetivo do 500% De aumento dos sites de Phishing Users vs Machines Usuário x Computador !
  7. 7. Tendência alarmante 2011 Malwares da WEB únicos encontrados 297% AumentoSource: Cisco ScanSafe
  8. 8. Integrantes da economia de Malware
  9. 9. Agenda• Economia dos malwares• Maiores vulnerabilidades da WEB• Metodologia• Tecnologia• Frameworks, normas e padrões• Conclusão
  10. 10. ESTATISTICAS DAS VULNERABILIDADESFonte: ptresearch.blogspot.com/2010/06/web-application-vulnerability.html
  11. 11. ESTATISTICAS DOS NIVEIS DE RISCOSFonte: ptresearch.blogspot.com/2010/06/web-application-vulnerability.html
  12. 12. Vulnerabilidades XSSRelatório de X-Force da IBM:No meio de 2012, 47% das vulnerabilidades de segurança afeta aplicações WEB– 41% em 2011– XSS atinge a taxa de 51%
  13. 13. OWASP Top Ten (2010 Edition) http://www.owasp.org/index.php/Top_10
  14. 14. A1 - SQL Injection "SELECT * FROM Account Summary Account: accounts WHERE Knowledge Mgmt Communication Administration Bus. Functions Legacy Systems Human Resrcs E-CommerceApplication Layer Transactions Web Services SKU: SQL acct=‘’ OR 1=1-- Directories Acct:5424-6066-2134-4334 Databases Accounts Finance HTTP Billing HTTP query DB Table Acct:4128-7574-3921-0192 response  ’" request APPLICATION    Acct:5424-9383-2039-4029 Acct:4128-0004-1234-0293  ATTACK  Custom Code 1. Aplicação apresenta formulário p/ atacante 2. Atacante envia um ataque nos dados do formulário App Server 3. Aplicação encaminha ataque p/ Web Server base de dados em um query SQL Hardened OS 4. Base de dados executa o queryNetwork Layer com ataque e envia o resultado criptografado p/ aplicação Firewall Firewall 5. Aplicação decripta os dados normalmente e envia o resultado p/ usuário
  15. 15. A1 - SQL InjectionExploração: FácilPrevalência: ComumDetecção: MediaImpacto: Severo
  16. 16. A2 - Cross-Site Scripting 1 Atacante coloca armadilha – Atualizar Perfil Aplicação com Atacante coloca um script vulnerabilidade XSS malicioso na pagina WEB que armazena os dados no servidor Knowledge Mgmt Communication Administration Bus. Functions E-Commerce Transactions 2 Vitima acessa a pagina – vê o perfil do atacante Accounts Finance Custom Code Script roda no browser da vitima c/ total acesso a DOM e cookies3 Script envia silenciosamente o cookie de sessão da vitima para o atacante
  17. 17. A2 - Cross-Site ScriptingExploração: MediaPrevalência: Muito ComumDetecção: FácilImpacto: Moderado
  18. 18. A3- Broken Authentication 1 Usuário envia credenciais Knowledge Mgmt Communication Administration Bus. Functions E-Commerce Transactions Accounts Finance www.boi.com?JSESSIONID=9FA1DB9EA... Site usa reescrita de URL 2 Custom Code (ex. coloca sessão na URL) 3 Usuário clica no link para http://www.hacker.com em um fórum Hacker checa logs no www.hacker.com e acha JSESSIONID do usuário 45 Hacker utiliza JSESSIONID e se apropria a conta da vitima
  19. 19. A3- Broken AuthenticationExploração: MediaPrevalência: ComumDetecção: MediaImpacto: Severo
  20. 20. A4 – Referencia direta insegura a objeto • Hacker observa ohttps://www.onlinebank.com/user?acct=6065 parâmetro acct é 6065 ?acct=6065 • Ele modifica para um valor próximo ?acct=6066 • Hacker vê as informações da conta da vitima
  21. 21. A4 – Referencia direta insegura a objetoExploração: FácilPrevalência: ComumDetecção: FácilImpacto: Moderado
  22. 22. A5 – Cross Site Request Forgery (CSRF) Hacker coloca armadilha em um site da Internet 1 (ou simplesmente via e-mail) Aplicação com Hidden <img> tag vulnerabilidade CSRF contem ataque contra site vulnerável Knowledge Mgmt Communication Administration Bus. Functions E-Commerce Transactions Accounts Finance Quando logado no site vulnerável, 2 a vitima vê o site do Hacker Custom Code 3 O site vulnerável vê uma <img> tag carregada pelo requisição legitima da browser – envia requisição vitima e executa a ação GET (com credenciais) requisitada para o site vulnerável
  23. 23. A5 – Cross Site Request Forgery (CSRF) Exploração: Media Prevalência: Comum Detecção: Fácil Impacto: Moderado
  24. 24. A6 – Mal configuração de Segurança Knowledge Mgmt Communication Administration Bus. Functions E-Commerce Transactions Accounts Finance Database Custom Code App Configuration Development Framework App Server QA Servers Web Server Hardened OSInterno Test Servers Source Control
  25. 25. A6 – Mal configuração de SegurançaExploração: FácilPrevalência: ComumDetecção: FácilImpacto: Moderado
  26. 26. A7 – Armazenamento criptografado inseguro Vitima digita numero cartão de credito no 1 formulário Communication Administration Bus. Functions E-Commerce Transactions Knowledge Accounts Finance Mgmt Custom Code Empregado Malicioso Log files 4 rouba milhões de Se Erro, logs detalhes do CC 2 números de cartão de porque, por exemplo, gateway credito da operadora está fora Logs são accessíveis para 3 todos os membros de TI para debug
  27. 27. A7 – Armazenamento criptografado inseguro Exploração: Difícil Prevalência: Pouco Comum Detecção: Difícil Impacto: Severo
  28. 28. A8 – Falha de acesso a URL restrita • Hacker observa que a URLhttps://www.onlinebank.com/user/getAccounts indica o papel /user/getAccounts • Ele modifica para um outro diretório (papel) /admin/getAccounts, ou /manager/getAccounts • Hacker vê mais contas do que devia
  29. 29. A8 – Falha de acesso a URL restritaExploração: FácilPrevalência: Pouco ComumDetecção: MediaImpacto: Moderado
  30. 30. A9 – Proteção Insuficiente da Camada de Transporte Parceiros NegóciosVitima externa Custom Code Backend Systems Colaboradores 1 2 Hacker externo Hacker interno rouba rouba credenciais credenciais e dados e dados fora da dentro da rede rede internaHacker Externo Hacker interno
  31. 31. A9 – Proteção Insuficiente da Camada de Transporte Exploração: Difícil Prevalência: Comum Detecção: Fácil Impacto: Moderado
  32. 32. A10 –Redirects inválidos 1 Hacker envia um ataque para a vitima via email ou página web From: Internal Revenue Service Subject: Your Unclaimed Tax Refund Aplicação redireciona a Our records show you have an 3 vitima p/ o site do unclaimed federal tax refund. Please Hacker click here to initiate your claim. Knowledge Mgmt Communication Administration Bus. Functions E-Commerce Transactions Accounts Vítima clica no link com parâmetro invalido Finance 2 Custom Code Request sent to vulnerable site, including attacker’s destination site as parameter. Redirect sends victim to attacker site Evil Site 4 O site malicioso instalahttp://www.irs.gov/taxrefund/claim.jsp?year=2006 malware ou rouba & … &dest=www.evilsite.com informações privadas
  33. 33. A10 –Redirects e Forwards inválidosExploração: MediaPrevalência: Pouco ComumDetecção: FácilImpacto: Moderado
  34. 34. CLICKJACKING
  35. 35. Agenda• Economia dos malwares• Maiores vulnerabilidades da WEB• Metodologia• Tecnologia• Frameworks, normas e padrões• Conclusão
  36. 36. TRÊS PILARES DA SEGURANCA DA INFORMAÇÃO• Confidencialidade – Usuário não autorizado não pode acessar os dados• Integridade – Usuário não autorizado não pode manipular os dados• Disponibilidade – Usuário não autorizado não pode tornar os dados indisponíveis para os usuários legítimos
  37. 37. Três Princípios• Defesa em profundidade – Vários níveis de defesa, redundantes• Menor privilegio – Atribuir o menos de liberdade possível• Simplicidade – Complexidade traz erros e vulnerabilidades
  38. 38. Duas Praticas Filtrar as EntradasAssegurar que os dados de entrada são validos “Escapar” as Saídas Assegurar que os dados de saída não são mal interpretados
  39. 39. AMEACA VULNERABILIDADE ATAQUE• AMEACA: Uma ocorrência que pode danificar um ativo• VULNERABILIDADE: fraqueza que rende possível uma ameaça• ATAQUE: Ação que explora a vulnerabilidade
  40. 40. Os Ataques exploram asvulnerabilidades fazendo deuma ameaça uma Realidade
  41. 41. Questões de Segurança• Problemas que afetam as aplicações WEB – Validação das entradas e dos dados – Autenticação – Autorização – Gestão da configuração – Dados sensíveis – Gestão da criptografia – Gestão da sessão – Log e auditoria
  42. 42. Integrar Segurança nociclo de vida do desenvolvimento
  43. 43. Processo de desenvolvimento WEB• Similar ao Ciclo de Vida de Desenvolvimento de Software – Endereçar a complexidade dos sistemas baseados na WEB – Minimizar os riscos de desenvolvimento – Lidar com mudanças – Entregar projetos no prazo – Fornecer retorno (feedback)
  44. 44. Agenda• Economia dos malwares• Maiores vulnerabilidades da WEB• Metodologia• Tecnologia• Frameworks, normas e padrões• Conclusão
  45. 45. Segurança de comunicaçãoSegurança em cada trecho ou de fim-a-fim ?
  46. 46. Assinatura digital de mensagem
  47. 47. Criptografia de mensagem
  48. 48. SSL – Secure Socket Layer
  49. 49. SOAP
  50. 50. Segurança de Web Service (OASIS)
  51. 51. WS-Security
  52. 52. SAML – Security Assertion Markup Language
  53. 53. O que é um Diretório?• O que é um diretório? – É um banco de dados especializado com informações descritivas baseadas em atributos e organizadas em forma de árvore.• Característica de um diretório: – Resposta rápida a grande quantidade de consultas.• Tipos de diretórios: – De aplicações: diretório do MS Exchange, etc. – De sistemas operacionais de rede: AD (Microsoft) – De propósito específico: DNS – De propósito geral: LDAP
  54. 54. O que é o LDAP?• Lightweight Directory Access Protocol – Protocolo Leve de Acesso a Diretórios. – Trabalha na camada de aplicação da pilha de protocolos TCP/IP, como por exemplo o SMTP, HTTP, FTP, TELNET e tantos outros. – RFCs 2251 – 2830 e 3377 – Cliente-Servidor. – Orientado a mensagens.
  55. 55. Por que usar o LDAP?• Integração entre sistemas Operacionais • Interligação ( Windows , Linux, Unix , MacOS)• Integração entre Serviços • Serviços de e-mail, FTP , Web etc.• Desempenho nas consultas: Desenvolvido com ênfase na leitura, ou seja, os dados serão lidos rapidamente por um número maior de consultas simultâneas.• Difundido no mercado• Não requer hardware pesado para operações
  56. 56. Diretório LDAPRepresentação gráfica de parte de um diretório LDAP
  57. 57. Objetos do LDAP
  58. 58. Tivoli Access Manager – Web Access Control Portal Internet WAS Gateway MS IIS Wireless
  59. 59. Tivoli Access Manager – Web Access Control Virtual Web Namespace Policy Object/ACL DB Manager Usuário/grupos Portal Object/ACL DB Internet WebSEAL WAS Gateway MS IIS Wireless
  60. 60. Alta disponibilidade – Alta performance Virtual Web Namespace Policy Object/ACL DB Manager Usuário/grupos PortalInternet WebSEAL WebSEAL WAS F5 WebSEAL Gateway MS IIS Wireless
  61. 61. Cobertura do TAMeB Espaço único de objetos protegidosWeb/URL Servidor de Aplicação Pacote• URL • WAS • Portal: Vignette• programa CGI • WebLogic • SIEBEL• Arquivos HTML • qualquer c/ JEE, JAAS • SAP• Servlet Java • MS IIS • COGNOS• Classe Java • ...
  62. 62. Possibilidades de Autenticação• Formulário• Autenticação Básica HTTP• Certificado X.509 (v3)• Token SecureId RSA• Autenticação Header HTTP• Customizado via API• Mecanismo Autenticação WAP• Re-autenticação sobre recursos sensíveis
  63. 63. Processo de Autorização Virtual Web Namespace Policy Object/ACL DB Manager Usuário/grupos WebSEAL ACL POP RegraACL: permissões dos usuários / gruposPOP: características de acesso ao recursoRegra: condição da requisição
  64. 64. Processo de AutorizaçãoRequisição “Negar” “Negar” “Permitir/Negar” Não Não ACL POP Decisão Satisfeito? Sim Satisfeito? Sim Regra? Acesso determinado Características do Acesso determinado pelas permissões de objeto (Horário, dinamicamente, Usuário/Grupo audit,...) baseado nas condições atuais
  65. 65. Agenda• Economia dos malwares• Maiores vulnerabilidades da WEB• Metodologia• Tecnologia• Frameworks, normas e padrões• Conclusão
  66. 66. Publicações serie NT 800-..
  67. 67. SHERWOOD APPLIED BUSINESS SECURITY ARCHITECTURE
  68. 68. Adoção de um padrãoQue padrão é o melhor?• ISO e NIST custam caro para implementar corretamente• ISO, CobIT, PCI são aplicados para empresa global• PCI e relativamente curto, extremamente detalhado e fácil de entender Pode aplicar PCI –DSS para ambiente WEB não Cartão de Credito ?
  69. 69. Agenda• Economia dos malwares• Maiores vulnerabilidades da WEB• Metodologia• Tecnologia• Frameworks, normas e padrões• Conclusão
  70. 70. Recomendações• Bom senso• Conscientização• Simplicidade• Estudo• Comunicação
  71. 71. “Seu tempo é limitado, então não perca vivendo a vida de outra pessoa. Nãoseja tapeado por dogmas – que é viver pela crença de outra pessoa. Nãodeixe o barulho da opinião dos outros calar sua voz interior. E maisimportante, tenha a coragem de seguir seu coração e intuição. De algumaforma eles já sabem o que você verdadeiramente quer se tornar. Tudo o maisé secundário”. Steve Jobs

×