2. Globalcode – Open4education
Sobre mim
Denny Richard San Vriesman
9+ anos na
-OCAJP, OCPPJ
-Java Developer, Software Architect,
-Devops and Cloud Engineer
-O mais legal: programou em BASIC num Apple II,
num MSX e num TK2000 em 1989.
Let’s go
10. Globalcode – Open4education
Pentest
1. Coletar Informações
2. Mapeamento de Rede
3. Enumeração de Serviços
4. Busca de Vulnerabilidade
5. Exploração das Vulnerabilidade
6. Implantação de Backdoors e
Rootkits
7. Eliminação de Vestígios
12. Globalcode – Open4education
SecDevOps
• Melhores práticas que ajudam as organizações a implantar código
seguro
• Automatização de testes de invasão (pentests)
• Herda conceitos essenciais DevOps:
• Falhar o quanto antes
• Reparar rapidamente
• https://www.reddit.com/r/secdevops/
14. Globalcode – Open4education
Alguns tipos de testes
Testes de
Segurança
Funcionais
Scan da Aplicação e
Infra-estrutura
Testes de
Segurança da lógica
da aplicação
Autenticação Autorização
Consigo interceptar uma
requisição, diminuindo o valor
de uma compra?
Vulnerabilidades
identificadas por
ferramentas de Scan
Consigo fazer uma
transferências para uma conta
com valor negativo?
17. Globalcode – Open4education
ZAP + Jenkins
• Permite fazermos um scan.
• Simples: Aponte para a URL a ser testada.
• Gera relatórios no JOB em HTML e/ou XML.
• Recomenda-se o uso no Build Noturno.
• Cada JOB deve ser configurado com um porta
Proxy diferente para habilitar a execução paralela.
23. Globalcode – Open4education
Web App Security Scanner
• Ideal para aplicações com muitos JavaScripts, SPA
• Entende DOM, Jquery e Angular.
• Scan Passivo/Ativo
• Relatórios em XML / HTML / JSON
28. Globalcode – Open4education
• Framework para testes não-funcionais e funcionais de segurança
• Usa Jbehave e Selenium para as estórias e fluxo de navegação
• Usa ZAP como Scanner Default (pode usar outros).
• Scan de Infraestrutura com Nessus.
• Testes de WebServices
• Suporte a autenticação com Tokens.
• Conjunto de estórias pré-definidas
35. Globalcode – Open4education
Consolidando resultados
Cada ferramenta gera seus
relatórios em formatos
proprietários
Como eliminar resultados repetidos entre
as diversas ferramentas ?
Como realizar análises e identificar
tendências?
41. Globalcode – Open4education
Conclusões
SecDevOps
Automação
DevOps já está em nosso dia-a-dia.
SecDevOps é o próximo passo!
Já existem várias ferramentas pentesters que
podem ser facilmente integradas aos builds,
através de plugins.
Qualquer ferramentas pode ser chamada via
linha de comando nos builds.
Devemos normalizar os dados para análise.
Vamos deixar esse Lammer
mostrar que é hacker de verdade.
The end
Por que esse papo ? Como os DevOps devem abraçar a segurança.
Verme, warm, sequestro de dados, recompensa, bitcoin
220 milhoes de habitantes tem o Brasil.
Sony vazou, dados de funcionários, folha de pagamento, Fury, protagonizado por Brad Pitt; foi baixado mais de 1 milhão de vezes em 3 dias
Como vingança contra o longa-metragem, que faz piada com o regime da Coreia do Norte = A Entrevista.
Perguntar se alguém viu as palestras do Branas Web Security de ontem.