Este documento descreve as atividades e objetivos da comunidade OWASP Portugal. Resume que a OWASP é uma comunidade aberta dedicada a melhorar a segurança de software; que o capítulo português tem cerca de 90 membros e realiza eventos regulares como conferências e workshops sobre segurança de aplicações web; e que a OWASP recomenda que universidades e instituições incluam práticas de segurança de software nos currículos e financiem mais investigação sobre o tema.

1. Segurança * Software
Universidade * Empresa
OWASP
ISCTE-IUL/ISTA/ADETTI-IUL Carlos Serrão
Instituto Superior de Ciências do Trabalho e da Empresa carlos.serrao@iscte.pt
Lisbon University Institute carlos.j.serrao@gmail.com
IUL School of Technology and Architecture
ADETTI-IUL http://www.carlosserrao.net
http://blog.carlosserrao.net
http://www.linkedin.com/in/carlosserrao

2. 3 e 4 de Maio
FI A
Forum of ISCTE-IUL
School of Technology
and Architecture

3. Sobre mim…
3
¨ {Professor Auxiliar}@ISCTE-IUL/ISTA/DCTI
¨ {R&D, Consultor, PM}@ADETTI-IUL
¤Projectos. EC, Nacionais, Privados.
¨ {Líder}@PT.OWASP
¨ {Author}@*
¤Livros, Artigos, ...
¨ twitter.com/pontocom
¨ pt.linkedin.com/in/carlosserrao
FISTA@2011 2011

4. “We wouldn’t have to spend so much time,
money, and effort on network security if we
didn’t have such bad software security”
Viega & McGraw, Building Secure Software, Addison
Wesley

5. “the current state of security in commercial
software is rather distasteful, marked by
embarrassing public reports of vulnerabilities
and actual attacks (...) and continual
exhortations to customers to perform
rudimentary checks and maintenance.”
Jim Routh, Beautiful Security, O'Reilly

6. “Software buyers are literally crash test
dummies for an industry that is remarkably
insulated against liability”
David Rice, Geekonomics: The Real Cost of Insecure
Software, Addison-Wesley

7. So#ware

8. So#ware

12. Segurança de Software
11
FISTA@2011 2011

13. Segurança de Software
11
¨ o software é ubíquo
FISTA@2011 2011

14. Segurança de Software
11
¨ o software é ubíquo
¨ dependemos do software nos diversos aspectos
da nossa vida
FISTA@2011 2011

15. Segurança de Software
11
¨ o software é ubíquo
¨ dependemos do software nos diversos aspectos
da nossa vida
¨ funções críticas de negócio dependem de
software
FISTA@2011 2011

16. Segurança de Software
11
¨ o software é ubíquo
¨ dependemos do software nos diversos aspectos
da nossa vida
¨ funções críticas de negócio dependem de
software
¨ software está cada vez mais exposto à Internet
FISTA@2011 2011

17. Segurança de Software
11
¨ o software é ubíquo
¨ dependemos do software nos diversos aspectos
da nossa vida
¨ funções críticas de negócio dependem de
software
¨ software está cada vez mais exposto à Internet
¨ exposição aumentada torna o software visível
para terceiros
FISTA@2011 2011

18. Segurança de Software
11
¨ o software é ubíquo
¨ dependemos do software nos diversos aspectos
da nossa vida
¨ funções críticas de negócio dependem de
software
¨ software está cada vez mais exposto à Internet
¨ exposição aumentada torna o software visível
para terceiros
¨ nem todas as pessoas são bem intencionadas
FISTA@2011 2011

19. Problema no software
12
FISTA@2011 2011

20. Problema no software
12
Características do software actual
FISTA@2011 2011

21. Problema no software
12
Características do software actual
¨ Complexidade
¤ Ataques exploram bugs designados por vulnerabilidades
¤ Estima-se entre 5-50 bugs por 1000 linhas de código
¤ Windows XP 40 milhões de linhas de código
FISTA@2011 2011

22. Problema no software
12
Características do software actual
¨ Complexidade
¤ Ataques exploram bugs designados por vulnerabilidades
¤ Estima-se entre 5-50 bugs por 1000 linhas de código
¤ Windows XP 40 milhões de linhas de código
¨ Extensibilidade
¤ O
que é o software nos nossos computadores? SO +
software em produção + patches + 3rd party DLLs +
device drivers + plugins + ....
FISTA@2011 2011

23. Problema no software
12
Características do software actual
¨ Complexidade
¤ Ataques exploram bugs designados por vulnerabilidades
¤ Estima-se entre 5-50 bugs por 1000 linhas de código
¤ Windows XP 40 milhões de linhas de código
¨ Extensibilidade
¤ O
que é o software nos nossos computadores? SO +
software em produção + patches + 3rd party DLLs +
device drivers + plugins + ....
¨ Conectividade
¤ Internet
(1+ biliões de utilizadores) + sistemas de
controlo + PDAs + telemóveis + ...
FISTA@2011 2011

25. Defeitos no
software
provocam
vulnerabilidades!

26. deficiências inerentes no modelo de defeitos no desenho ou
processamento do software (web, implementação de interfaces de
SOA, e-mail, etc.) e no modelo software com os utilizadores
associado aos protocolos e (humanos ou processos de software)
tecnologias usadas
defeitos no desenho ou
problemas na arquitectura de implementação do processamento do
segurança do software input do software
defeitos nos componentes de
execução do software (middleware,
frameworks, SO, etc.)
defeitos no desenho ou
implementação dos interfaces de
software com componentes do
ambiente de execução ou da aplicação
Defeitos no
software
provocam
vulnerabilidades!

27. Tipologia de um ataque aplicacional
14
Network Layer
OS Layer
Application
Network Layer Layer
OS Layer Custom
Back-end
Application
Application Database
Layer
(End-user Application Traffic
interface)
FISTA@2011 2011

28. Tipologia de um ataque aplicacional
14
Network Layer
OS Layer
Application
Network Layer Layer
OS Layer Custom
Back-end
Application
Application Database
Layer
(End-user Application Traffic
interface)
FISTA@2011 2011

29. Tipologia de um ataque aplicacional
14
Network Layer
OS Layer
Application
Network Layer Layer
OS Layer Custom
Back-end
Application
Application Database
Layer
(End-user Application Traffic
interface)
FISTA@2011 2011

30. Tipologia de um ataque aplicacional
14
Network Layer
OS Layer
Application
Network Layer Layer
OS Layer Custom
Back-end
Application
Application Database
Layer
(End-user Application Traffic
interface)
FISTA@2011 2011

32. Contexto
16
¨ Falta de percepção da
segurança
¤as (algumas) organizações
não investem o suficiente
em segurança (ou
investem incorretamente)
¤programadores não
percebem os riscos de
segurança (ou não podem
ou querem perceber)
n DISCLAIMER: não estou com
isto a insinuar que *TODOS* os
programadores são maus ;-)
FISTA@2011 2011

33. Contexto
17
Tendências
Cisco
para
2011
FISTA@2011 2011

34. Contexto
18
Número médio de vulnerabilidades sérias encontradas
em WebApps por sector (fonte: WhiteHat, 2010)
FISTA@2011 2011

35. Contexto
19
Percentagem de ocorrência de problemas de segurança em
WebApps (fonte: WhiteHat, 2010)
FISTA@2011 2011

36. ... an open community dedicated to enabling
organizations to develop, purchase, and
maintain applications that can be trusted

37. OWASP?
21
¨ Open Web Application Security Project
¤Promove o desenvolvimento seguro de software
¤Orientado para o desenvolvimento de serviços
baseados na web
¤Focado principalmente em aspectos de
desenvolvimento do que em web-design
¤Um fórum aberto para discussão
¤Um recurso gratuito e livre para qualquer equipa
de desenvolvimento
FISTA@2011 2011

38. OWASP?
22
¨ Open Web Application Security Project
¤ Organizaçãosem fins lucrativos, orientada para
esforço voluntário
n Todos os membros são voluntários
n Todo o trabalho é “doado” por patrocinadores
¤ Oferecer recursos livres para a comunidade
n Publicações, Artigos, Normas
n Software de Testes e de Formação
n Chapters Locais & Mailing Lists
¤ Suportada através de patrocínios
n Suporte de empresas através de patrocínios financeiros ou de
projectos
n Patrocínios pessoais por parte dos membros
FISTA@2011 2011

39. OWASP
23
FISTA@2011 2011

40. OWASP
24
FISTA@2011 2011

41. OWASP?
25
FISTA@2011 2011

42. OWASP?
26
¨ Top 10 Web Application Security Risks/
Vulnerabilities
¤Uma lista dos 10 aspectos de segurança mais
críticos
¤Actualizado numa base anual
¤Crescente aceitação pela indústria
n Federal Trade Commission (US Gov)
n US Defense Information Systems Agency
n VISA (Cardholder Information Security Program)
¨ Está a ser adoptado como um standard de
segurança para aplicações web
FISTA@2011 2011

43. OWASP?
27
h3p://www.owasp.org/index.php/Top_10
FISTA@2011 2011

44. OWASP
28
FISTA@2011 2011

45. PT.OWASP
29
¨ … alguns dados
¨ Membros (ML)
¤~90 membros
¨ Web-site
¤http://www.owasp.org/index.php/Portuguese
¨ Mailling-List
¤owasp-portuguese@lists.owasp.org
FISTA@2011 2011

46. História e Actividade
30
¨ 2007
¤ Nasce o chapter português
¤ Actividade quase nula
¨ 2008
¤ OWASP EU Summit 08
¤ Albufeira, Algarve, Portugal
¨ 2009
¤ owasp@IPCB (Castelo Branco), owasp@IPViseu (Viseu), owasp@UBI
(Covilhã)
¤ IBWAS’09, Madrid
¨ 2010
¤ owasp@ISCTE-IUL
¤ Samy Kamkar, How I met Your Girlfriend, Lisboa
¤ IBWAS’10, Lisboa
¨ 2011
¤ OWASP SUMMIT 2011, Torres Vedras, 8th - 11th February
FISTA@2011 2011

47. OWASP EU SUMMIT 2008
31
¨ OWASP EU SUMMIT 2008
¤1 semana, +100 pessoas (de todo o Mundo)
¤Apresentação de Projectos
¤Sessões de Trabalho
¤Formação
¤+ 1 dia de Demo na UAlg
FISTA@2011 2011

48. IBWAS’09
32
¨ 1st. OWASP Iberic Web App Sec 2009
¨ Dezembro 2009
¤Universidade Politécnica de Madrid
¤Speakers, entre os quais Bruce Schneier
FISTA@2011 2011

49. Samy Kamkar - Lisboa
33
¨ Sobre
¤ http://samy.pl
¤ @samykamkar
¤ desenvolveu 1º worm XSS para
o MySpace
n 1M utilizadores infectados < 24h
¤ co-fundador da Fonality, Inc.
n produtos de IP PBX
“think bad, do good”
¨ How I met Your Girlfriend
¤ BlackHat 2010 - LV, USA
¤ conjunto de novos ataques descobertos, executados
através da Web, com o objectivo de conhecer
a vossa namorada ;-)
¨ Integrado numa Tour Europeia patrocinada pela OWASP
FISTA@2011 2011

50. IBWAS’10
34
¨ 2nd. OWASP Ibero-American Web App Sec 2010
¨ Dezembro 2010
¤ISCTE-IUL
n Sessões Técnicas/Profissionais
n Sessões de Research/Académicas
¤http://www.ibwas.com
FISTA@2011 2011

51. OWASP SUMMIT 2011
35
FISTA@2011 2011

52. OWASP
36
¨ Recomendações (Universidades, CI)
¤Inclusão das boas práticas de segurança de
aplicações no conteúdo dos cursos ou UCs
¤Definição de cursos avançados para formação de
mão-de-obra na área
¤Fomentar e financiar investigação sobre
segurança de aplicações
¤Promover a formação de profissionais capazes de
actuar com ética e responsabilidade
FISTA@2011 2011

53. OWASP
37
¨ O que pode a OWASP oferecer
¤know-how
¤ferramentas
¤Global Conference Committee
¤Global Education Committee
¤OWASP Academic Portal
FISTA@2011 2011

54. Finalmente...
38
¨ … juntem-se a nós.
¨ Participem!
¤Mailing List
¤Blog
¤Reuniões
¤Eventos
¤Projectos
¤Ideias
¨ Informação útil
¤http://www.owasp.org
¤http://www.owasp.org/index.php/Portuguese
FISTA@2011 2011

55. Segurança * Software
Universidade * Empresa
Visão da Segurança na Indústria de Software
ISCTE-IUL/ISTA/ADETTI-IUL Carlos Serrão
Instituto Superior de Ciências do Trabalho e da Empresa carlos.serrao@iscte.pt
Lisbon University Institute carlos.j.serrao@gmail.com
IUL School of Technology and Architecture
ADETTI-IUL http://www.carlosserrao.net
http://blog.carlosserrao.net
http://www.linkedin.com/in/carlosserrao