SlideShare uma empresa Scribd logo

OWASP presentation on FISTA2011

Carlos Serrao
Carlos Serrao

Este documento descreve as atividades e objetivos da comunidade OWASP Portugal. Resume que a OWASP é uma comunidade aberta dedicada a melhorar a segurança de software; que o capítulo português tem cerca de 90 membros e realiza eventos regulares como conferências e workshops sobre segurança de aplicações web; e que a OWASP recomenda que universidades e instituições incluam práticas de segurança de software nos currículos e financiem mais investigação sobre o tema.

EducaçãoTecnologiaNegócios
1 de 55
Baixar para ler offline
Segurança * Software Universidade * Empresa OWASP ISCTE-IUL/ISTA/ADETTI-IUL Carlos Serrão Instituto Superior de Ciências do Trabalho e da Empresa carlos.serrao@iscte.pt Lisbon University Institute carlos.j.serrao@gmail.com IUL School of Technology and Architecture ADETTI-IUL http://www.carlosserrao.net http://blog.carlosserrao.net http://www.linkedin.com/in/carlosserrao
3 e 4 de Maio FI A Forum of ISCTE-IUL School of Technology and Architecture
Sobre mim… 3 ¨ {Professor Auxiliar}@ISCTE-IUL/ISTA/DCTI ¨ {R&D, Consultor, PM}@ADETTI-IUL ¤Projectos. EC, Nacionais, Privados. ¨ {Líder}@PT.OWASP ¨ {Author}@* ¤Livros, Artigos, ... ¨ twitter.com/pontocom ¨ pt.linkedin.com/in/carlosserrao FISTA@2011 2011
“We wouldn’t have to spend so much time, money, and effort on network security if we didn’t have such bad software security” Viega & McGraw, Building Secure Software, Addison Wesley
“the current state of security in commercial software is rather distasteful, marked by embarrassing public reports of vulnerabilities and actual attacks (...) and continual exhortations to customers to perform rudimentary checks and maintenance.” Jim Routh, Beautiful Security, O'Reilly
“Software buyers are literally crash test dummies for an industry that is remarkably insulated against liability” David Rice, Geekonomics: The Real Cost of Insecure Software, Addison-Wesley
So#ware
So#ware
Segurança de Software 11 FISTA@2011 2011
Segurança de Software 11 ¨ o software é ubíquo FISTA@2011 2011
Segurança de Software 11 ¨ o software é ubíquo ¨ dependemos do software nos diversos aspectos da nossa vida FISTA@2011 2011
Segurança de Software 11 ¨ o software é ubíquo ¨ dependemos do software nos diversos aspectos da nossa vida ¨ funções críticas de negócio dependem de software FISTA@2011 2011
Segurança de Software 11 ¨ o software é ubíquo ¨ dependemos do software nos diversos aspectos da nossa vida ¨ funções críticas de negócio dependem de software ¨ software está cada vez mais exposto à Internet FISTA@2011 2011
Segurança de Software 11 ¨ o software é ubíquo ¨ dependemos do software nos diversos aspectos da nossa vida ¨ funções críticas de negócio dependem de software ¨ software está cada vez mais exposto à Internet ¨ exposição aumentada torna o software visível para terceiros FISTA@2011 2011
Segurança de Software 11 ¨ o software é ubíquo ¨ dependemos do software nos diversos aspectos da nossa vida ¨ funções críticas de negócio dependem de software ¨ software está cada vez mais exposto à Internet ¨ exposição aumentada torna o software visível para terceiros ¨ nem todas as pessoas são bem intencionadas FISTA@2011 2011
Problema no software 12 FISTA@2011 2011
Problema no software 12 Características do software actual FISTA@2011 2011
Problema no software 12 Características do software actual ¨ Complexidade ¤ Ataques exploram bugs designados por vulnerabilidades ¤ Estima-se entre 5-50 bugs por 1000 linhas de código ¤ Windows XP 40 milhões de linhas de código FISTA@2011 2011
Problema no software 12 Características do software actual ¨ Complexidade ¤ Ataques exploram bugs designados por vulnerabilidades ¤ Estima-se entre 5-50 bugs por 1000 linhas de código ¤ Windows XP 40 milhões de linhas de código ¨ Extensibilidade ¤ O que é o software nos nossos computadores? SO + software em produção + patches + 3rd party DLLs + device drivers + plugins + .... FISTA@2011 2011
Problema no software 12 Características do software actual ¨ Complexidade ¤ Ataques exploram bugs designados por vulnerabilidades ¤ Estima-se entre 5-50 bugs por 1000 linhas de código ¤ Windows XP 40 milhões de linhas de código ¨ Extensibilidade ¤ O que é o software nos nossos computadores? SO + software em produção + patches + 3rd party DLLs + device drivers + plugins + .... ¨ Conectividade ¤ Internet (1+ biliões de utilizadores) + sistemas de controlo + PDAs + telemóveis + ... FISTA@2011 2011
Defeitos no software provocam vulnerabilidades!
deficiências inerentes no modelo de defeitos no desenho ou processamento do software (web, implementação de interfaces de SOA, e-mail, etc.) e no modelo software com os utilizadores associado aos protocolos e (humanos ou processos de software) tecnologias usadas defeitos no desenho ou problemas na arquitectura de implementação do processamento do segurança do software input do software defeitos nos componentes de execução do software (middleware, frameworks, SO, etc.) defeitos no desenho ou implementação dos interfaces de software com componentes do ambiente de execução ou da aplicação Defeitos no software provocam vulnerabilidades!
Tipologia de um ataque aplicacional 14 Network Layer OS Layer Application Network Layer Layer OS Layer Custom Back-end Application Application Database Layer (End-user Application Traffic interface) FISTA@2011 2011
Tipologia de um ataque aplicacional 14 Network Layer OS Layer Application Network Layer Layer OS Layer Custom Back-end Application Application Database Layer (End-user Application Traffic interface) FISTA@2011 2011
Tipologia de um ataque aplicacional 14 Network Layer OS Layer Application Network Layer Layer OS Layer Custom Back-end Application Application Database Layer (End-user Application Traffic interface) FISTA@2011 2011
Tipologia de um ataque aplicacional 14 Network Layer OS Layer Application Network Layer Layer OS Layer Custom Back-end Application Application Database Layer (End-user Application Traffic interface) FISTA@2011 2011
Contexto 16 ¨ Falta de percepção da segurança ¤as (algumas) organizações não investem o suficiente em segurança (ou investem incorretamente) ¤programadores não percebem os riscos de segurança (ou não podem ou querem perceber) n DISCLAIMER: não estou com isto a insinuar que *TODOS* os programadores são maus ;-) FISTA@2011 2011
Contexto 17 Tendências   Cisco  para   2011 FISTA@2011 2011
Contexto 18 Número médio de vulnerabilidades sérias encontradas em WebApps por sector (fonte: WhiteHat, 2010) FISTA@2011 2011
Contexto 19 Percentagem de ocorrência de problemas de segurança em WebApps (fonte: WhiteHat, 2010) FISTA@2011 2011
... an open community dedicated to enabling organizations to develop, purchase, and maintain applications that can be trusted
OWASP? 21 ¨ Open Web Application Security Project ¤Promove o desenvolvimento seguro de software ¤Orientado para o desenvolvimento de serviços baseados na web ¤Focado principalmente em aspectos de desenvolvimento do que em web-design ¤Um fórum aberto para discussão ¤Um recurso gratuito e livre para qualquer equipa de desenvolvimento FISTA@2011 2011
OWASP? 22 ¨ Open Web Application Security Project ¤ Organizaçãosem fins lucrativos, orientada para esforço voluntário n Todos os membros são voluntários n Todo o trabalho é “doado” por patrocinadores ¤ Oferecer recursos livres para a comunidade n Publicações, Artigos, Normas n Software de Testes e de Formação n Chapters Locais & Mailing Lists ¤ Suportada através de patrocínios n Suporte de empresas através de patrocínios financeiros ou de projectos n Patrocínios pessoais por parte dos membros FISTA@2011 2011
OWASP 23 FISTA@2011 2011
OWASP 24 FISTA@2011 2011
OWASP? 25 FISTA@2011 2011
OWASP? 26 ¨ Top 10 Web Application Security Risks/ Vulnerabilities ¤Uma lista dos 10 aspectos de segurança mais críticos ¤Actualizado numa base anual ¤Crescente aceitação pela indústria n Federal Trade Commission (US Gov) n US Defense Information Systems Agency n VISA (Cardholder Information Security Program) ¨ Está a ser adoptado como um standard de segurança para aplicações web FISTA@2011 2011
OWASP? 27 h3p://www.owasp.org/index.php/Top_10 FISTA@2011 2011
OWASP 28 FISTA@2011 2011
PT.OWASP 29 ¨ … alguns dados ¨ Membros (ML) ¤~90 membros ¨ Web-site ¤http://www.owasp.org/index.php/Portuguese ¨ Mailling-List ¤owasp-portuguese@lists.owasp.org FISTA@2011 2011
História e Actividade 30 ¨ 2007 ¤ Nasce o chapter português ¤ Actividade quase nula ¨ 2008 ¤ OWASP EU Summit 08 ¤ Albufeira, Algarve, Portugal ¨ 2009 ¤ owasp@IPCB (Castelo Branco), owasp@IPViseu (Viseu), owasp@UBI (Covilhã) ¤ IBWAS’09, Madrid ¨ 2010 ¤ owasp@ISCTE-IUL ¤ Samy Kamkar, How I met Your Girlfriend, Lisboa ¤ IBWAS’10, Lisboa ¨ 2011 ¤ OWASP SUMMIT 2011, Torres Vedras, 8th - 11th February FISTA@2011 2011
OWASP EU SUMMIT 2008 31 ¨ OWASP EU SUMMIT 2008 ¤1 semana, +100 pessoas (de todo o Mundo) ¤Apresentação de Projectos ¤Sessões de Trabalho ¤Formação ¤+ 1 dia de Demo na UAlg FISTA@2011 2011
IBWAS’09 32 ¨ 1st. OWASP Iberic Web App Sec 2009 ¨ Dezembro 2009 ¤Universidade Politécnica de Madrid ¤Speakers, entre os quais Bruce Schneier FISTA@2011 2011
Samy Kamkar - Lisboa 33 ¨ Sobre ¤ http://samy.pl ¤ @samykamkar ¤ desenvolveu 1º worm XSS para o MySpace n 1M utilizadores infectados < 24h ¤ co-fundador da Fonality, Inc. n produtos de IP PBX “think bad, do good” ¨ How I met Your Girlfriend ¤ BlackHat 2010 - LV, USA ¤ conjunto de novos ataques descobertos, executados através da Web, com o objectivo de conhecer a vossa namorada ;-) ¨ Integrado numa Tour Europeia patrocinada pela OWASP FISTA@2011 2011
IBWAS’10 34 ¨ 2nd. OWASP Ibero-American Web App Sec 2010 ¨ Dezembro 2010 ¤ISCTE-IUL n Sessões Técnicas/Profissionais n Sessões de Research/Académicas ¤http://www.ibwas.com FISTA@2011 2011
OWASP SUMMIT 2011 35 FISTA@2011 2011
OWASP 36 ¨ Recomendações (Universidades, CI) ¤Inclusão das boas práticas de segurança de aplicações no conteúdo dos cursos ou UCs ¤Definição de cursos avançados para formação de mão-de-obra na área ¤Fomentar e financiar investigação sobre segurança de aplicações ¤Promover a formação de profissionais capazes de actuar com ética e responsabilidade FISTA@2011 2011
OWASP 37 ¨ O que pode a OWASP oferecer ¤know-how ¤ferramentas ¤Global Conference Committee ¤Global Education Committee ¤OWASP Academic Portal FISTA@2011 2011
Finalmente... 38 ¨ … juntem-se a nós. ¨ Participem! ¤Mailing List ¤Blog ¤Reuniões ¤Eventos ¤Projectos ¤Ideias ¨ Informação útil ¤http://www.owasp.org ¤http://www.owasp.org/index.php/Portuguese FISTA@2011 2011
Segurança * Software Universidade * Empresa Visão da Segurança na Indústria de Software ISCTE-IUL/ISTA/ADETTI-IUL Carlos Serrão Instituto Superior de Ciências do Trabalho e da Empresa carlos.serrao@iscte.pt Lisbon University Institute carlos.j.serrao@gmail.com IUL School of Technology and Architecture ADETTI-IUL http://www.carlosserrao.net http://blog.carlosserrao.net http://www.linkedin.com/in/carlosserrao

Recomendados

A OWASP e a Segurança Aplicacional para a Web
A OWASP e a Segurança Aplicacional para a WebA OWASP e a Segurança Aplicacional para a Web
A OWASP e a Segurança Aplicacional para a WebCarlos Serrao
 
To DRM or not to DRM?
To DRM or not to DRM?To DRM or not to DRM?
To DRM or not to DRM?Carlos Serrao
 
DRM: A Skeptics View
DRM: A Skeptics ViewDRM: A Skeptics View
DRM: A Skeptics ViewLeigh Dodds
 
Digital Rights Management for Ebooks
Digital Rights Management for EbooksDigital Rights Management for Ebooks
Digital Rights Management for EbookseBOUND Canada
 
DRM, Digital Content, and the Consumer Experience: Lessons Learned From The M...
DRM, Digital Content, and the Consumer Experience: Lessons Learned From The M...DRM, Digital Content, and the Consumer Experience: Lessons Learned From The M...
DRM, Digital Content, and the Consumer Experience: Lessons Learned From The M...Kirk Biglione
 
Digital rights management (drm) and you
Digital rights management (drm) and youDigital rights management (drm) and you
Digital rights management (drm) and youSaneMaly
 
Digital Rights Management PPT
Digital Rights Management PPTDigital Rights Management PPT
Digital Rights Management PPTSuresh Khutale
 
DRM Powerpoint
DRM PowerpointDRM Powerpoint
DRM Powerpointguest33ff82
 

Recomendados

A OWASP e a Segurança Aplicacional para a Web
A OWASP e a Segurança Aplicacional para a WebA OWASP e a Segurança Aplicacional para a Web
A OWASP e a Segurança Aplicacional para a WebCarlos Serrao
 
To DRM or not to DRM?
To DRM or not to DRM?To DRM or not to DRM?
To DRM or not to DRM?Carlos Serrao
 
DRM: A Skeptics View
DRM: A Skeptics ViewDRM: A Skeptics View
DRM: A Skeptics ViewLeigh Dodds
 
Digital Rights Management for Ebooks
Digital Rights Management for EbooksDigital Rights Management for Ebooks
Digital Rights Management for EbookseBOUND Canada
 
DRM, Digital Content, and the Consumer Experience: Lessons Learned From The M...
DRM, Digital Content, and the Consumer Experience: Lessons Learned From The M...DRM, Digital Content, and the Consumer Experience: Lessons Learned From The M...
DRM, Digital Content, and the Consumer Experience: Lessons Learned From The M...Kirk Biglione
 
Digital rights management (drm) and you
Digital rights management (drm) and youDigital rights management (drm) and you
Digital rights management (drm) and youSaneMaly
 
Digital Rights Management PPT
Digital Rights Management PPTDigital Rights Management PPT
Digital Rights Management PPTSuresh Khutale
 
DRM Powerpoint
DRM PowerpointDRM Powerpoint
DRM Powerpointguest33ff82
 
OWASP e o desenvolvimento seguro de aplicações para a Web
OWASP e o desenvolvimento seguro de aplicações para a WebOWASP e o desenvolvimento seguro de aplicações para a Web
OWASP e o desenvolvimento seguro de aplicações para a WebCarlos Serrao
 
Seguranca web testday2012
Seguranca web testday2012Seguranca web testday2012
Seguranca web testday2012Marcio Cunha
 
Análise de Vulnerabilidades em Aplicações na Web Nacional
Análise de Vulnerabilidades em Aplicações na Web NacionalAnálise de Vulnerabilidades em Aplicações na Web Nacional
Análise de Vulnerabilidades em Aplicações na Web NacionalCarlos Serrao
 
(1) Por que Seguranca de Aplicacoes Web?
(1) Por que Seguranca de Aplicacoes Web?(1) Por que Seguranca de Aplicacoes Web?
(1) Por que Seguranca de Aplicacoes Web?KeySupport Consultoria e Informática Ltda
 
(1) Por que Seguranca de Aplicacoes Web?
(1) Por que Seguranca de Aplicacoes Web?(1) Por que Seguranca de Aplicacoes Web?
(1) Por que Seguranca de Aplicacoes Web?Eduardo Lanna
 
Gestão de Risco de Ti | Andracom
Gestão de Risco de Ti | AndracomGestão de Risco de Ti | Andracom
Gestão de Risco de Ti | AndracomAndracom Solutions
 
Análise de Ameaças Cibernéticas em Protocolos Industriais
Análise de Ameaças Cibernéticas em Protocolos Industriais Análise de Ameaças Cibernéticas em Protocolos Industriais
Análise de Ameaças Cibernéticas em Protocolos Industriais Alexandre Freire
 
181554969 protecao-seguranca
181554969 protecao-seguranca181554969 protecao-seguranca
181554969 protecao-segurancaMarco Guimarães
 
Deep security
Deep security Deep security
Deep security Andre Takegawa
 
NetSol - Next Generation Firewall
NetSol - Next Generation FirewallNetSol - Next Generation Firewall
NetSol - Next Generation FirewallJorge Quintao
 
Apresentacao gptic
Apresentacao gpticApresentacao gptic
Apresentacao gpticAnderson Gouveia
 
Aula 1
Aula 1Aula 1
Aula 1Thomas Cristanis
 
Você confia nas suas aplicações mobile?
Você confia nas suas aplicações mobile?Você confia nas suas aplicações mobile?
Você confia nas suas aplicações mobile?Conviso Application Security
 
Windows Azure no Mundo Real para IT-Pros
Windows Azure no Mundo Real para IT-ProsWindows Azure no Mundo Real para IT-Pros
Windows Azure no Mundo Real para IT-ProsMarkus Christen
 
Unidade 1.1 Introdução ao Software
Unidade 1.1 Introdução ao SoftwareUnidade 1.1 Introdução ao Software
Unidade 1.1 Introdução ao SoftwareJuan Carlos Lamarão
 
Seguranca web Testday2012
Seguranca web Testday2012Seguranca web Testday2012
Seguranca web Testday2012Marcio Cunha
 
OWASP@ ISCTE-IUL, Segurança em PHP
OWASP@ ISCTE-IUL, Segurança em PHPOWASP@ ISCTE-IUL, Segurança em PHP
OWASP@ ISCTE-IUL, Segurança em PHPCarlos Serrao
 
Apresentação 1.0
Apresentação 1.0Apresentação 1.0
Apresentação 1.0Megatiro
 
AULA 07 - MODELO OSI P2 redes de computadores.pdf
AULA 07 - MODELO OSI P2 redes de computadores.pdfAULA 07 - MODELO OSI P2 redes de computadores.pdf
AULA 07 - MODELO OSI P2 redes de computadores.pdfMatheusWillami
 
OWASP @ ISCTE-IUL, OWASP Top 10 2010
OWASP @ ISCTE-IUL, OWASP Top 10 2010OWASP @ ISCTE-IUL, OWASP Top 10 2010
OWASP @ ISCTE-IUL, OWASP Top 10 2010Carlos Serrao
 
Prevenir o "ransomware" - Guia da OWASP para prevenção do "ransomware"
Prevenir o "ransomware" - Guia da OWASP para prevenção do "ransomware"Prevenir o "ransomware" - Guia da OWASP para prevenção do "ransomware"
Prevenir o "ransomware" - Guia da OWASP para prevenção do "ransomware"Carlos Serrao
 
OWASP Mobile Top 10 - Principais Riscos no Desenvolvimento Seguro de Aplicaçõ...
OWASP Mobile Top 10 - Principais Riscos no Desenvolvimento Seguro de Aplicaçõ...OWASP Mobile Top 10 - Principais Riscos no Desenvolvimento Seguro de Aplicaçõ...
OWASP Mobile Top 10 - Principais Riscos no Desenvolvimento Seguro de Aplicaçõ...Carlos Serrao
 

Mais conteúdo relacionado

Semelhante a OWASP presentation on FISTA2011

OWASP e o desenvolvimento seguro de aplicações para a Web
OWASP e o desenvolvimento seguro de aplicações para a WebOWASP e o desenvolvimento seguro de aplicações para a Web
OWASP e o desenvolvimento seguro de aplicações para a WebCarlos Serrao
 
Seguranca web testday2012
Seguranca web testday2012Seguranca web testday2012
Seguranca web testday2012Marcio Cunha
 
Análise de Vulnerabilidades em Aplicações na Web Nacional
Análise de Vulnerabilidades em Aplicações na Web NacionalAnálise de Vulnerabilidades em Aplicações na Web Nacional
Análise de Vulnerabilidades em Aplicações na Web NacionalCarlos Serrao
 
(1) Por que Seguranca de Aplicacoes Web?
(1) Por que Seguranca de Aplicacoes Web?(1) Por que Seguranca de Aplicacoes Web?
(1) Por que Seguranca de Aplicacoes Web?Eduardo Lanna
 
Gestão de Risco de Ti | Andracom
Gestão de Risco de Ti | AndracomGestão de Risco de Ti | Andracom
Gestão de Risco de Ti | AndracomAndracom Solutions
 
Análise de Ameaças Cibernéticas em Protocolos Industriais
Análise de Ameaças Cibernéticas em Protocolos Industriais Análise de Ameaças Cibernéticas em Protocolos Industriais
Análise de Ameaças Cibernéticas em Protocolos Industriais Alexandre Freire
 
181554969 protecao-seguranca
181554969 protecao-seguranca181554969 protecao-seguranca
181554969 protecao-segurancaMarco Guimarães
 
NetSol - Next Generation Firewall
NetSol - Next Generation FirewallNetSol - Next Generation Firewall
NetSol - Next Generation FirewallJorge Quintao
 
Windows Azure no Mundo Real para IT-Pros
Windows Azure no Mundo Real para IT-ProsWindows Azure no Mundo Real para IT-Pros
Windows Azure no Mundo Real para IT-ProsMarkus Christen
 
Unidade 1.1 Introdução ao Software
Unidade 1.1 Introdução ao SoftwareUnidade 1.1 Introdução ao Software
Unidade 1.1 Introdução ao SoftwareJuan Carlos Lamarão
 
Seguranca web Testday2012
Seguranca web Testday2012Seguranca web Testday2012
Seguranca web Testday2012Marcio Cunha
 
OWASP@ ISCTE-IUL, Segurança em PHP
OWASP@ ISCTE-IUL, Segurança em PHPOWASP@ ISCTE-IUL, Segurança em PHP
OWASP@ ISCTE-IUL, Segurança em PHPCarlos Serrao
 
Apresentação 1.0
Apresentação 1.0Apresentação 1.0
Apresentação 1.0Megatiro
 
AULA 07 - MODELO OSI P2 redes de computadores.pdf
AULA 07 - MODELO OSI P2 redes de computadores.pdfAULA 07 - MODELO OSI P2 redes de computadores.pdf
AULA 07 - MODELO OSI P2 redes de computadores.pdfMatheusWillami
 
OWASP @ ISCTE-IUL, OWASP Top 10 2010
OWASP @ ISCTE-IUL, OWASP Top 10 2010OWASP @ ISCTE-IUL, OWASP Top 10 2010
OWASP @ ISCTE-IUL, OWASP Top 10 2010Carlos Serrao
 

Semelhante a OWASP presentation on FISTA2011 (20)

OWASP e o desenvolvimento seguro de aplicações para a Web
OWASP e o desenvolvimento seguro de aplicações para a WebOWASP e o desenvolvimento seguro de aplicações para a Web
OWASP e o desenvolvimento seguro de aplicações para a Web
 
Seguranca web testday2012
Seguranca web testday2012Seguranca web testday2012
Seguranca web testday2012
 
Análise de Vulnerabilidades em Aplicações na Web Nacional
Análise de Vulnerabilidades em Aplicações na Web NacionalAnálise de Vulnerabilidades em Aplicações na Web Nacional
Análise de Vulnerabilidades em Aplicações na Web Nacional
 
(1) Por que Seguranca de Aplicacoes Web?
(1) Por que Seguranca de Aplicacoes Web?(1) Por que Seguranca de Aplicacoes Web?
(1) Por que Seguranca de Aplicacoes Web?
 
(1) Por que Seguranca de Aplicacoes Web?
(1) Por que Seguranca de Aplicacoes Web?(1) Por que Seguranca de Aplicacoes Web?
(1) Por que Seguranca de Aplicacoes Web?
 
Gestão de Risco de Ti | Andracom
Gestão de Risco de Ti | AndracomGestão de Risco de Ti | Andracom
Gestão de Risco de Ti | Andracom
 
Análise de Ameaças Cibernéticas em Protocolos Industriais
Análise de Ameaças Cibernéticas em Protocolos Industriais Análise de Ameaças Cibernéticas em Protocolos Industriais
Análise de Ameaças Cibernéticas em Protocolos Industriais
 
181554969 protecao-seguranca
181554969 protecao-seguranca181554969 protecao-seguranca
181554969 protecao-seguranca
 
Deep security
Deep security Deep security
Deep security
 
NetSol - Next Generation Firewall
NetSol - Next Generation FirewallNetSol - Next Generation Firewall
NetSol - Next Generation Firewall
 
Apresentacao gptic
Apresentacao gpticApresentacao gptic
Apresentacao gptic
 
Aula 1
Aula 1Aula 1
Aula 1
 
Você confia nas suas aplicações mobile?
Você confia nas suas aplicações mobile?Você confia nas suas aplicações mobile?
Você confia nas suas aplicações mobile?
 
Windows Azure no Mundo Real para IT-Pros
Windows Azure no Mundo Real para IT-ProsWindows Azure no Mundo Real para IT-Pros
Windows Azure no Mundo Real para IT-Pros
 
Unidade 1.1 Introdução ao Software
Unidade 1.1 Introdução ao SoftwareUnidade 1.1 Introdução ao Software
Unidade 1.1 Introdução ao Software
 
Seguranca web Testday2012
Seguranca web Testday2012Seguranca web Testday2012
Seguranca web Testday2012
 
OWASP@ ISCTE-IUL, Segurança em PHP
OWASP@ ISCTE-IUL, Segurança em PHPOWASP@ ISCTE-IUL, Segurança em PHP
OWASP@ ISCTE-IUL, Segurança em PHP
 
Apresentação 1.0
Apresentação 1.0Apresentação 1.0
Apresentação 1.0
 
AULA 07 - MODELO OSI P2 redes de computadores.pdf
AULA 07 - MODELO OSI P2 redes de computadores.pdfAULA 07 - MODELO OSI P2 redes de computadores.pdf
AULA 07 - MODELO OSI P2 redes de computadores.pdf
 
OWASP @ ISCTE-IUL, OWASP Top 10 2010
OWASP @ ISCTE-IUL, OWASP Top 10 2010OWASP @ ISCTE-IUL, OWASP Top 10 2010
OWASP @ ISCTE-IUL, OWASP Top 10 2010
 

Mais de Carlos Serrao

Prevenir o "ransomware" - Guia da OWASP para prevenção do "ransomware"
Prevenir o "ransomware" - Guia da OWASP para prevenção do "ransomware"Prevenir o "ransomware" - Guia da OWASP para prevenção do "ransomware"
Prevenir o "ransomware" - Guia da OWASP para prevenção do "ransomware"Carlos Serrao
 
OWASP Mobile Top 10 - Principais Riscos no Desenvolvimento Seguro de Aplicaçõ...
OWASP Mobile Top 10 - Principais Riscos no Desenvolvimento Seguro de Aplicaçõ...OWASP Mobile Top 10 - Principais Riscos no Desenvolvimento Seguro de Aplicaçõ...
OWASP Mobile Top 10 - Principais Riscos no Desenvolvimento Seguro de Aplicaçõ...Carlos Serrao
 
Vamos tirar uma selfie? [... como a privacidade morreu e ninguém nos avisou]
Vamos tirar uma selfie? [... como a privacidade morreu e ninguém nos avisou]Vamos tirar uma selfie? [... como a privacidade morreu e ninguém nos avisou]
Vamos tirar uma selfie? [... como a privacidade morreu e ninguém nos avisou]Carlos Serrao
 
Segurança e Privacidade em Redes Sociais
Segurança e Privacidade em Redes SociaisSegurança e Privacidade em Redes Sociais
Segurança e Privacidade em Redes SociaisCarlos Serrao
 
Segurança e Privacidade em Redes Sociais
Segurança e Privacidade em Redes SociaisSegurança e Privacidade em Redes Sociais
Segurança e Privacidade em Redes SociaisCarlos Serrao
 
Principios básicos de segurança on-line
Principios básicos de segurança on-linePrincipios básicos de segurança on-line
Principios básicos de segurança on-lineCarlos Serrao
 
Segurança e Privacidade em Redes Sociais
Segurança e Privacidade em Redes SociaisSegurança e Privacidade em Redes Sociais
Segurança e Privacidade em Redes SociaisCarlos Serrao
 
OWASP, PT.OWASP, IBWAS'10 & Cia.
OWASP, PT.OWASP, IBWAS'10 & Cia.OWASP, PT.OWASP, IBWAS'10 & Cia.
OWASP, PT.OWASP, IBWAS'10 & Cia.Carlos Serrao
 
Owasp@iscte iul ferramentas-analise_vulnerabilidades
Owasp@iscte iul ferramentas-analise_vulnerabilidadesOwasp@iscte iul ferramentas-analise_vulnerabilidades
Owasp@iscte iul ferramentas-analise_vulnerabilidadesCarlos Serrao
 
OWASP @ ISCTE-IUL - OWASP Top 10 (v2010)
OWASP @ ISCTE-IUL - OWASP Top 10 (v2010)OWASP @ ISCTE-IUL - OWASP Top 10 (v2010)
OWASP @ ISCTE-IUL - OWASP Top 10 (v2010)Carlos Serrao
 
OWASP @ ISCTE-IUL, Criptografia em PHP
OWASP @ ISCTE-IUL, Criptografia em PHPOWASP @ ISCTE-IUL, Criptografia em PHP
OWASP @ ISCTE-IUL, Criptografia em PHPCarlos Serrao
 
OWASP @ ISCTE-IUL, OWASP e OWASP Portugal
OWASP @ ISCTE-IUL, OWASP e OWASP PortugalOWASP @ ISCTE-IUL, OWASP e OWASP Portugal
OWASP @ ISCTE-IUL, OWASP e OWASP PortugalCarlos Serrao
 
aula de PED - Academia ISCTE-IUL 2010
aula de PED - Academia ISCTE-IUL 2010aula de PED - Academia ISCTE-IUL 2010
aula de PED - Academia ISCTE-IUL 2010Carlos Serrao
 
Apresentação OWASP - UBI, Covilhã
Apresentação OWASP - UBI, CovilhãApresentação OWASP - UBI, Covilhã
Apresentação OWASP - UBI, CovilhãCarlos Serrao
 
cTIC2009 - Segurança em Aplicações Web-based e RIA
cTIC2009 - Segurança em Aplicações Web-based e RIAcTIC2009 - Segurança em Aplicações Web-based e RIA
cTIC2009 - Segurança em Aplicações Web-based e RIACarlos Serrao
 
Apresentação do OWASP Portugal
Apresentação do OWASP PortugalApresentação do OWASP Portugal
Apresentação do OWASP PortugalCarlos Serrao
 

Mais de Carlos Serrao (20)

Prevenir o "ransomware" - Guia da OWASP para prevenção do "ransomware"
Prevenir o "ransomware" - Guia da OWASP para prevenção do "ransomware"Prevenir o "ransomware" - Guia da OWASP para prevenção do "ransomware"
Prevenir o "ransomware" - Guia da OWASP para prevenção do "ransomware"
 
OWASP Mobile Top 10 - Principais Riscos no Desenvolvimento Seguro de Aplicaçõ...
OWASP Mobile Top 10 - Principais Riscos no Desenvolvimento Seguro de Aplicaçõ...OWASP Mobile Top 10 - Principais Riscos no Desenvolvimento Seguro de Aplicaçõ...
OWASP Mobile Top 10 - Principais Riscos no Desenvolvimento Seguro de Aplicaçõ...
 
OWASP Mobile Top 10
OWASP Mobile Top 10OWASP Mobile Top 10
OWASP Mobile Top 10
 
Vamos tirar uma selfie? [... como a privacidade morreu e ninguém nos avisou]
Vamos tirar uma selfie? [... como a privacidade morreu e ninguém nos avisou]Vamos tirar uma selfie? [... como a privacidade morreu e ninguém nos avisou]
Vamos tirar uma selfie? [... como a privacidade morreu e ninguém nos avisou]
 
Segurança e Privacidade em Redes Sociais
Segurança e Privacidade em Redes SociaisSegurança e Privacidade em Redes Sociais
Segurança e Privacidade em Redes Sociais
 
Segurança e Privacidade em Redes Sociais
Segurança e Privacidade em Redes SociaisSegurança e Privacidade em Redes Sociais
Segurança e Privacidade em Redes Sociais
 
Principios básicos de segurança on-line
Principios básicos de segurança on-linePrincipios básicos de segurança on-line
Principios básicos de segurança on-line
 
Segurança e Privacidade em Redes Sociais
Segurança e Privacidade em Redes SociaisSegurança e Privacidade em Redes Sociais
Segurança e Privacidade em Redes Sociais
 
OWASP, PT.OWASP, IBWAS'10 & Cia.
OWASP, PT.OWASP, IBWAS'10 & Cia.OWASP, PT.OWASP, IBWAS'10 & Cia.
OWASP, PT.OWASP, IBWAS'10 & Cia.
 
Is the Web at Risk?
Is the Web at Risk?Is the Web at Risk?
Is the Web at Risk?
 
Owasp@iscte iul ferramentas-analise_vulnerabilidades
Owasp@iscte iul ferramentas-analise_vulnerabilidadesOwasp@iscte iul ferramentas-analise_vulnerabilidades
Owasp@iscte iul ferramentas-analise_vulnerabilidades
 
OWASP @ ISCTE-IUL - OWASP Top 10 (v2010)
OWASP @ ISCTE-IUL - OWASP Top 10 (v2010)OWASP @ ISCTE-IUL - OWASP Top 10 (v2010)
OWASP @ ISCTE-IUL - OWASP Top 10 (v2010)
 
OWASP @ ISCTE-IUL, Criptografia em PHP
OWASP @ ISCTE-IUL, Criptografia em PHPOWASP @ ISCTE-IUL, Criptografia em PHP
OWASP @ ISCTE-IUL, Criptografia em PHP
 
OWASP @ ISCTE-IUL, OWASP e OWASP Portugal
OWASP @ ISCTE-IUL, OWASP e OWASP PortugalOWASP @ ISCTE-IUL, OWASP e OWASP Portugal
OWASP @ ISCTE-IUL, OWASP e OWASP Portugal
 
aula de PED - Academia ISCTE-IUL 2010
aula de PED - Academia ISCTE-IUL 2010aula de PED - Academia ISCTE-IUL 2010
aula de PED - Academia ISCTE-IUL 2010
 
Apresentação OWASP - UBI, Covilhã
Apresentação OWASP - UBI, CovilhãApresentação OWASP - UBI, Covilhã
Apresentação OWASP - UBI, Covilhã
 
OWASP - Ferramentas
OWASP - FerramentasOWASP - Ferramentas
OWASP - Ferramentas
 
cTIC2009 - Segurança em Aplicações Web-based e RIA
cTIC2009 - Segurança em Aplicações Web-based e RIAcTIC2009 - Segurança em Aplicações Web-based e RIA
cTIC2009 - Segurança em Aplicações Web-based e RIA
 
Apresentação do OWASP Portugal
Apresentação do OWASP PortugalApresentação do OWASP Portugal
Apresentação do OWASP Portugal
 
Welcome to OWASP
Welcome to OWASPWelcome to OWASP
Welcome to OWASP
 

Último

CRUZADINHA - Leitura e escrita dos números
CRUZADINHA - Leitura e escrita dos números CRUZADINHA - Leitura e escrita dos números
CRUZADINHA - Leitura e escrita dos números Mary Alvarenga
 
Atividade - Letra da música Esperando na Janela.
Atividade - Letra da música Esperando na Janela.Atividade - Letra da música Esperando na Janela.
Atividade - Letra da música Esperando na Janela.Mary Alvarenga
 
Slides Lição 5, Betel, Ordenança para uma vida de vigilância e oração, 2Tr24....
Slides Lição 5, Betel, Ordenança para uma vida de vigilância e oração, 2Tr24....Slides Lição 5, Betel, Ordenança para uma vida de vigilância e oração, 2Tr24....
Slides Lição 5, Betel, Ordenança para uma vida de vigilância e oração, 2Tr24....LuizHenriquedeAlmeid6
 
Pedologia- Geografia - Geologia - aula_01.pptx
Pedologia- Geografia - Geologia - aula_01.pptxPedologia- Geografia - Geologia - aula_01.pptx
Pedologia- Geografia - Geologia - aula_01.pptxleandropereira983288
 
Urso Castanho, Urso Castanho, o que vês aqui?
Urso Castanho, Urso Castanho, o que vês aqui?Urso Castanho, Urso Castanho, o que vês aqui?
Urso Castanho, Urso Castanho, o que vês aqui?AnabelaGuerreiro7
 
5 bloco 7 ano - Ensino Relogioso- Lideres Religiosos _ Passei Direto.pdf
5 bloco 7 ano - Ensino Relogioso- Lideres Religiosos _ Passei Direto.pdf5 bloco 7 ano - Ensino Relogioso- Lideres Religiosos _ Passei Direto.pdf
5 bloco 7 ano - Ensino Relogioso- Lideres Religiosos _ Passei Direto.pdfLeloIurk1
 
PROVA - ESTUDO CONTEMPORÂNEO E TRANSVERSAL: LEITURA DE IMAGENS, GRÁFICOS E MA...
PROVA - ESTUDO CONTEMPORÂNEO E TRANSVERSAL: LEITURA DE IMAGENS, GRÁFICOS E MA...PROVA - ESTUDO CONTEMPORÂNEO E TRANSVERSAL: LEITURA DE IMAGENS, GRÁFICOS E MA...
PROVA - ESTUDO CONTEMPORÂNEO E TRANSVERSAL: LEITURA DE IMAGENS, GRÁFICOS E MA...azulassessoria9
 
GEOGRAFIA - ENSINO FUNDAMENTAL ANOS FINAIS.pdf
GEOGRAFIA - ENSINO FUNDAMENTAL ANOS FINAIS.pdfGEOGRAFIA - ENSINO FUNDAMENTAL ANOS FINAIS.pdf
GEOGRAFIA - ENSINO FUNDAMENTAL ANOS FINAIS.pdfElianeElika
 
COMPETÊNCIA 2 da redação do enem prodção textual professora vanessa cavalcante
COMPETÊNCIA 2 da redação do enem prodção textual professora vanessa cavalcanteCOMPETÊNCIA 2 da redação do enem prodção textual professora vanessa cavalcante
COMPETÊNCIA 2 da redação do enem prodção textual professora vanessa cavalcanteVanessaCavalcante37
 
CIÊNCIAS HUMANAS - ENSINO MÉDIO. 2024 2 bimestre
CIÊNCIAS HUMANAS - ENSINO MÉDIO. 2024 2 bimestreCIÊNCIAS HUMANAS - ENSINO MÉDIO. 2024 2 bimestre
CIÊNCIAS HUMANAS - ENSINO MÉDIO. 2024 2 bimestreElianeElika
 
PROVA - ESTUDO CONTEMPORÂNEO E TRANSVERSAL: LEITURA DE IMAGENS, GRÁFICOS E MA...
PROVA - ESTUDO CONTEMPORÂNEO E TRANSVERSAL: LEITURA DE IMAGENS, GRÁFICOS E MA...PROVA - ESTUDO CONTEMPORÂNEO E TRANSVERSAL: LEITURA DE IMAGENS, GRÁFICOS E MA...
PROVA - ESTUDO CONTEMPORÂNEO E TRANSVERSAL: LEITURA DE IMAGENS, GRÁFICOS E MA...azulassessoria9
 
Slides Lição 04, Central Gospel, O Tribunal De Cristo, 1Tr24.pptx
Slides Lição 04, Central Gospel, O Tribunal De Cristo, 1Tr24.pptxSlides Lição 04, Central Gospel, O Tribunal De Cristo, 1Tr24.pptx
Slides Lição 04, Central Gospel, O Tribunal De Cristo, 1Tr24.pptxLuizHenriquedeAlmeid6
 
Rotas Transaarianas como o desrto prouz riqueza
Rotas Transaarianas como o desrto prouz riquezaRotas Transaarianas como o desrto prouz riqueza
Rotas Transaarianas como o desrto prouz riquezaronaldojacademico
 
Aula de História Ensino Médio Mesopotâmia.pdf
Aula de História Ensino Médio Mesopotâmia.pdfAula de História Ensino Médio Mesopotâmia.pdf
Aula de História Ensino Médio Mesopotâmia.pdfFernandaMota99
 
11oC_-_Mural_de_Portugues_4m35.pptxTrabalho do Ensino Profissional turma do 1...
11oC_-_Mural_de_Portugues_4m35.pptxTrabalho do Ensino Profissional turma do 1...11oC_-_Mural_de_Portugues_4m35.pptxTrabalho do Ensino Profissional turma do 1...
11oC_-_Mural_de_Portugues_4m35.pptxTrabalho do Ensino Profissional turma do 1...licinioBorges
 
Manual da CPSA_1_Agir com Autonomia para envio
Manual da CPSA_1_Agir com Autonomia para envioManual da CPSA_1_Agir com Autonomia para envio
Manual da CPSA_1_Agir com Autonomia para envioManuais Formação
 
"É melhor praticar para a nota" - Como avaliar comportamentos em contextos de...
"É melhor praticar para a nota" - Como avaliar comportamentos em contextos de..."É melhor praticar para a nota" - Como avaliar comportamentos em contextos de...
"É melhor praticar para a nota" - Como avaliar comportamentos em contextos de...Rosalina Simão Nunes
 
2° ano_PLANO_DE_CURSO em PDF referente ao 2° ano do Ensino fundamental
2° ano_PLANO_DE_CURSO em PDF referente ao 2° ano do Ensino fundamental2° ano_PLANO_DE_CURSO em PDF referente ao 2° ano do Ensino fundamental
2° ano_PLANO_DE_CURSO em PDF referente ao 2° ano do Ensino fundamentalAntônia marta Silvestre da Silva
 
Mapa mental - Classificação dos seres vivos .docx
Mapa mental - Classificação dos seres vivos .docxMapa mental - Classificação dos seres vivos .docx
Mapa mental - Classificação dos seres vivos .docxBeatrizLittig1
 
Literatura Brasileira - escolas literárias.ppt
Literatura Brasileira - escolas literárias.pptLiteratura Brasileira - escolas literárias.ppt
Literatura Brasileira - escolas literárias.pptMaiteFerreira4
 

Último (20)

CRUZADINHA - Leitura e escrita dos números
CRUZADINHA - Leitura e escrita dos números CRUZADINHA - Leitura e escrita dos números
CRUZADINHA - Leitura e escrita dos números
 
Atividade - Letra da música Esperando na Janela.
Atividade - Letra da música Esperando na Janela.Atividade - Letra da música Esperando na Janela.
Atividade - Letra da música Esperando na Janela.
 
Slides Lição 5, Betel, Ordenança para uma vida de vigilância e oração, 2Tr24....
Slides Lição 5, Betel, Ordenança para uma vida de vigilância e oração, 2Tr24....Slides Lição 5, Betel, Ordenança para uma vida de vigilância e oração, 2Tr24....
Slides Lição 5, Betel, Ordenança para uma vida de vigilância e oração, 2Tr24....
 
Pedologia- Geografia - Geologia - aula_01.pptx
Pedologia- Geografia - Geologia - aula_01.pptxPedologia- Geografia - Geologia - aula_01.pptx
Pedologia- Geografia - Geologia - aula_01.pptx
 
Urso Castanho, Urso Castanho, o que vês aqui?
Urso Castanho, Urso Castanho, o que vês aqui?Urso Castanho, Urso Castanho, o que vês aqui?
Urso Castanho, Urso Castanho, o que vês aqui?
 
5 bloco 7 ano - Ensino Relogioso- Lideres Religiosos _ Passei Direto.pdf
5 bloco 7 ano - Ensino Relogioso- Lideres Religiosos _ Passei Direto.pdf5 bloco 7 ano - Ensino Relogioso- Lideres Religiosos _ Passei Direto.pdf
5 bloco 7 ano - Ensino Relogioso- Lideres Religiosos _ Passei Direto.pdf
 
PROVA - ESTUDO CONTEMPORÂNEO E TRANSVERSAL: LEITURA DE IMAGENS, GRÁFICOS E MA...
PROVA - ESTUDO CONTEMPORÂNEO E TRANSVERSAL: LEITURA DE IMAGENS, GRÁFICOS E MA...PROVA - ESTUDO CONTEMPORÂNEO E TRANSVERSAL: LEITURA DE IMAGENS, GRÁFICOS E MA...
PROVA - ESTUDO CONTEMPORÂNEO E TRANSVERSAL: LEITURA DE IMAGENS, GRÁFICOS E MA...
 
GEOGRAFIA - ENSINO FUNDAMENTAL ANOS FINAIS.pdf
GEOGRAFIA - ENSINO FUNDAMENTAL ANOS FINAIS.pdfGEOGRAFIA - ENSINO FUNDAMENTAL ANOS FINAIS.pdf
GEOGRAFIA - ENSINO FUNDAMENTAL ANOS FINAIS.pdf
 
COMPETÊNCIA 2 da redação do enem prodção textual professora vanessa cavalcante
COMPETÊNCIA 2 da redação do enem prodção textual professora vanessa cavalcanteCOMPETÊNCIA 2 da redação do enem prodção textual professora vanessa cavalcante
COMPETÊNCIA 2 da redação do enem prodção textual professora vanessa cavalcante
 
CIÊNCIAS HUMANAS - ENSINO MÉDIO. 2024 2 bimestre
CIÊNCIAS HUMANAS - ENSINO MÉDIO. 2024 2 bimestreCIÊNCIAS HUMANAS - ENSINO MÉDIO. 2024 2 bimestre
CIÊNCIAS HUMANAS - ENSINO MÉDIO. 2024 2 bimestre
 
PROVA - ESTUDO CONTEMPORÂNEO E TRANSVERSAL: LEITURA DE IMAGENS, GRÁFICOS E MA...
PROVA - ESTUDO CONTEMPORÂNEO E TRANSVERSAL: LEITURA DE IMAGENS, GRÁFICOS E MA...PROVA - ESTUDO CONTEMPORÂNEO E TRANSVERSAL: LEITURA DE IMAGENS, GRÁFICOS E MA...
PROVA - ESTUDO CONTEMPORÂNEO E TRANSVERSAL: LEITURA DE IMAGENS, GRÁFICOS E MA...
 
Slides Lição 04, Central Gospel, O Tribunal De Cristo, 1Tr24.pptx
Slides Lição 04, Central Gospel, O Tribunal De Cristo, 1Tr24.pptxSlides Lição 04, Central Gospel, O Tribunal De Cristo, 1Tr24.pptx
Slides Lição 04, Central Gospel, O Tribunal De Cristo, 1Tr24.pptx
 
Rotas Transaarianas como o desrto prouz riqueza
Rotas Transaarianas como o desrto prouz riquezaRotas Transaarianas como o desrto prouz riqueza
Rotas Transaarianas como o desrto prouz riqueza
 
Aula de História Ensino Médio Mesopotâmia.pdf
Aula de História Ensino Médio Mesopotâmia.pdfAula de História Ensino Médio Mesopotâmia.pdf
Aula de História Ensino Médio Mesopotâmia.pdf
 
11oC_-_Mural_de_Portugues_4m35.pptxTrabalho do Ensino Profissional turma do 1...
11oC_-_Mural_de_Portugues_4m35.pptxTrabalho do Ensino Profissional turma do 1...11oC_-_Mural_de_Portugues_4m35.pptxTrabalho do Ensino Profissional turma do 1...
11oC_-_Mural_de_Portugues_4m35.pptxTrabalho do Ensino Profissional turma do 1...
 
Manual da CPSA_1_Agir com Autonomia para envio
Manual da CPSA_1_Agir com Autonomia para envioManual da CPSA_1_Agir com Autonomia para envio
Manual da CPSA_1_Agir com Autonomia para envio
 
"É melhor praticar para a nota" - Como avaliar comportamentos em contextos de...
"É melhor praticar para a nota" - Como avaliar comportamentos em contextos de..."É melhor praticar para a nota" - Como avaliar comportamentos em contextos de...
"É melhor praticar para a nota" - Como avaliar comportamentos em contextos de...
 
2° ano_PLANO_DE_CURSO em PDF referente ao 2° ano do Ensino fundamental
2° ano_PLANO_DE_CURSO em PDF referente ao 2° ano do Ensino fundamental2° ano_PLANO_DE_CURSO em PDF referente ao 2° ano do Ensino fundamental
2° ano_PLANO_DE_CURSO em PDF referente ao 2° ano do Ensino fundamental
 
Mapa mental - Classificação dos seres vivos .docx
Mapa mental - Classificação dos seres vivos .docxMapa mental - Classificação dos seres vivos .docx
Mapa mental - Classificação dos seres vivos .docx
 
Literatura Brasileira - escolas literárias.ppt
Literatura Brasileira - escolas literárias.pptLiteratura Brasileira - escolas literárias.ppt
Literatura Brasileira - escolas literárias.ppt
 

OWASP presentation on FISTA2011

  • 1. Segurança * Software Universidade * Empresa OWASP ISCTE-IUL/ISTA/ADETTI-IUL Carlos Serrão Instituto Superior de Ciências do Trabalho e da Empresa carlos.serrao@iscte.pt Lisbon University Institute carlos.j.serrao@gmail.com IUL School of Technology and Architecture ADETTI-IUL http://www.carlosserrao.net http://blog.carlosserrao.net http://www.linkedin.com/in/carlosserrao
  • 2. 3 e 4 de Maio FI A Forum of ISCTE-IUL School of Technology and Architecture
  • 3. Sobre mim… 3 ¨ {Professor Auxiliar}@ISCTE-IUL/ISTA/DCTI ¨ {R&D, Consultor, PM}@ADETTI-IUL ¤Projectos. EC, Nacionais, Privados. ¨ {Líder}@PT.OWASP ¨ {Author}@* ¤Livros, Artigos, ... ¨ twitter.com/pontocom ¨ pt.linkedin.com/in/carlosserrao FISTA@2011 2011
  • 4. “We wouldn’t have to spend so much time, money, and effort on network security if we didn’t have such bad software security” Viega & McGraw, Building Secure Software, Addison Wesley
  • 5. “the current state of security in commercial software is rather distasteful, marked by embarrassing public reports of vulnerabilities and actual attacks (...) and continual exhortations to customers to perform rudimentary checks and maintenance.” Jim Routh, Beautiful Security, O'Reilly
  • 6. “Software buyers are literally crash test dummies for an industry that is remarkably insulated against liability” David Rice, Geekonomics: The Real Cost of Insecure Software, Addison-Wesley
  • 9.
  • 10.
  • 11.
  • 12. Segurança de Software 11 FISTA@2011 2011
  • 13. Segurança de Software 11 ¨ o software é ubíquo FISTA@2011 2011
  • 14. Segurança de Software 11 ¨ o software é ubíquo ¨ dependemos do software nos diversos aspectos da nossa vida FISTA@2011 2011
  • 15. Segurança de Software 11 ¨ o software é ubíquo ¨ dependemos do software nos diversos aspectos da nossa vida ¨ funções críticas de negócio dependem de software FISTA@2011 2011
  • 16. Segurança de Software 11 ¨ o software é ubíquo ¨ dependemos do software nos diversos aspectos da nossa vida ¨ funções críticas de negócio dependem de software ¨ software está cada vez mais exposto à Internet FISTA@2011 2011
  • 17. Segurança de Software 11 ¨ o software é ubíquo ¨ dependemos do software nos diversos aspectos da nossa vida ¨ funções críticas de negócio dependem de software ¨ software está cada vez mais exposto à Internet ¨ exposição aumentada torna o software visível para terceiros FISTA@2011 2011
  • 18. Segurança de Software 11 ¨ o software é ubíquo ¨ dependemos do software nos diversos aspectos da nossa vida ¨ funções críticas de negócio dependem de software ¨ software está cada vez mais exposto à Internet ¨ exposição aumentada torna o software visível para terceiros ¨ nem todas as pessoas são bem intencionadas FISTA@2011 2011
  • 19. Problema no software 12 FISTA@2011 2011
  • 20. Problema no software 12 Características do software actual FISTA@2011 2011
  • 21. Problema no software 12 Características do software actual ¨ Complexidade ¤ Ataques exploram bugs designados por vulnerabilidades ¤ Estima-se entre 5-50 bugs por 1000 linhas de código ¤ Windows XP 40 milhões de linhas de código FISTA@2011 2011
  • 22. Problema no software 12 Características do software actual ¨ Complexidade ¤ Ataques exploram bugs designados por vulnerabilidades ¤ Estima-se entre 5-50 bugs por 1000 linhas de código ¤ Windows XP 40 milhões de linhas de código ¨ Extensibilidade ¤ O que é o software nos nossos computadores? SO + software em produção + patches + 3rd party DLLs + device drivers + plugins + .... FISTA@2011 2011
  • 23. Problema no software 12 Características do software actual ¨ Complexidade ¤ Ataques exploram bugs designados por vulnerabilidades ¤ Estima-se entre 5-50 bugs por 1000 linhas de código ¤ Windows XP 40 milhões de linhas de código ¨ Extensibilidade ¤ O que é o software nos nossos computadores? SO + software em produção + patches + 3rd party DLLs + device drivers + plugins + .... ¨ Conectividade ¤ Internet (1+ biliões de utilizadores) + sistemas de controlo + PDAs + telemóveis + ... FISTA@2011 2011
  • 24.
  • 26. deficiências inerentes no modelo de defeitos no desenho ou processamento do software (web, implementação de interfaces de SOA, e-mail, etc.) e no modelo software com os utilizadores associado aos protocolos e (humanos ou processos de software) tecnologias usadas defeitos no desenho ou problemas na arquitectura de implementação do processamento do segurança do software input do software defeitos nos componentes de execução do software (middleware, frameworks, SO, etc.) defeitos no desenho ou implementação dos interfaces de software com componentes do ambiente de execução ou da aplicação Defeitos no software provocam vulnerabilidades!
  • 27. Tipologia de um ataque aplicacional 14 Network Layer OS Layer Application Network Layer Layer OS Layer Custom Back-end Application Application Database Layer (End-user Application Traffic interface) FISTA@2011 2011
  • 28. Tipologia de um ataque aplicacional 14 Network Layer OS Layer Application Network Layer Layer OS Layer Custom Back-end Application Application Database Layer (End-user Application Traffic interface) FISTA@2011 2011
  • 29. Tipologia de um ataque aplicacional 14 Network Layer OS Layer Application Network Layer Layer OS Layer Custom Back-end Application Application Database Layer (End-user Application Traffic interface) FISTA@2011 2011
  • 30. Tipologia de um ataque aplicacional 14 Network Layer OS Layer Application Network Layer Layer OS Layer Custom Back-end Application Application Database Layer (End-user Application Traffic interface) FISTA@2011 2011
  • 31.
  • 32. Contexto 16 ¨ Falta de percepção da segurança ¤as (algumas) organizações não investem o suficiente em segurança (ou investem incorretamente) ¤programadores não percebem os riscos de segurança (ou não podem ou querem perceber) n DISCLAIMER: não estou com isto a insinuar que *TODOS* os programadores são maus ;-) FISTA@2011 2011
  • 33. Contexto 17 Tendências   Cisco  para   2011 FISTA@2011 2011
  • 34. Contexto 18 Número médio de vulnerabilidades sérias encontradas em WebApps por sector (fonte: WhiteHat, 2010) FISTA@2011 2011
  • 35. Contexto 19 Percentagem de ocorrência de problemas de segurança em WebApps (fonte: WhiteHat, 2010) FISTA@2011 2011
  • 36. ... an open community dedicated to enabling organizations to develop, purchase, and maintain applications that can be trusted
  • 37. OWASP? 21 ¨ Open Web Application Security Project ¤Promove o desenvolvimento seguro de software ¤Orientado para o desenvolvimento de serviços baseados na web ¤Focado principalmente em aspectos de desenvolvimento do que em web-design ¤Um fórum aberto para discussão ¤Um recurso gratuito e livre para qualquer equipa de desenvolvimento FISTA@2011 2011
  • 38. OWASP? 22 ¨ Open Web Application Security Project ¤ Organizaçãosem fins lucrativos, orientada para esforço voluntário n Todos os membros são voluntários n Todo o trabalho é “doado” por patrocinadores ¤ Oferecer recursos livres para a comunidade n Publicações, Artigos, Normas n Software de Testes e de Formação n Chapters Locais & Mailing Lists ¤ Suportada através de patrocínios n Suporte de empresas através de patrocínios financeiros ou de projectos n Patrocínios pessoais por parte dos membros FISTA@2011 2011
  • 39. OWASP 23 FISTA@2011 2011
  • 40. OWASP 24 FISTA@2011 2011
  • 41. OWASP? 25 FISTA@2011 2011
  • 42. OWASP? 26 ¨ Top 10 Web Application Security Risks/ Vulnerabilities ¤Uma lista dos 10 aspectos de segurança mais críticos ¤Actualizado numa base anual ¤Crescente aceitação pela indústria n Federal Trade Commission (US Gov) n US Defense Information Systems Agency n VISA (Cardholder Information Security Program) ¨ Está a ser adoptado como um standard de segurança para aplicações web FISTA@2011 2011
  • 43. OWASP? 27 h3p://www.owasp.org/index.php/Top_10 FISTA@2011 2011
  • 44. OWASP 28 FISTA@2011 2011
  • 45. PT.OWASP 29 ¨ … alguns dados ¨ Membros (ML) ¤~90 membros ¨ Web-site ¤http://www.owasp.org/index.php/Portuguese ¨ Mailling-List ¤owasp-portuguese@lists.owasp.org FISTA@2011 2011
  • 46. História e Actividade 30 ¨ 2007 ¤ Nasce o chapter português ¤ Actividade quase nula ¨ 2008 ¤ OWASP EU Summit 08 ¤ Albufeira, Algarve, Portugal ¨ 2009 ¤ owasp@IPCB (Castelo Branco), owasp@IPViseu (Viseu), owasp@UBI (Covilhã) ¤ IBWAS’09, Madrid ¨ 2010 ¤ owasp@ISCTE-IUL ¤ Samy Kamkar, How I met Your Girlfriend, Lisboa ¤ IBWAS’10, Lisboa ¨ 2011 ¤ OWASP SUMMIT 2011, Torres Vedras, 8th - 11th February FISTA@2011 2011
  • 47. OWASP EU SUMMIT 2008 31 ¨ OWASP EU SUMMIT 2008 ¤1 semana, +100 pessoas (de todo o Mundo) ¤Apresentação de Projectos ¤Sessões de Trabalho ¤Formação ¤+ 1 dia de Demo na UAlg FISTA@2011 2011
  • 48. IBWAS’09 32 ¨ 1st. OWASP Iberic Web App Sec 2009 ¨ Dezembro 2009 ¤Universidade Politécnica de Madrid ¤Speakers, entre os quais Bruce Schneier FISTA@2011 2011
  • 49. Samy Kamkar - Lisboa 33 ¨ Sobre ¤ http://samy.pl ¤ @samykamkar ¤ desenvolveu 1º worm XSS para o MySpace n 1M utilizadores infectados < 24h ¤ co-fundador da Fonality, Inc. n produtos de IP PBX “think bad, do good” ¨ How I met Your Girlfriend ¤ BlackHat 2010 - LV, USA ¤ conjunto de novos ataques descobertos, executados através da Web, com o objectivo de conhecer a vossa namorada ;-) ¨ Integrado numa Tour Europeia patrocinada pela OWASP FISTA@2011 2011
  • 50. IBWAS’10 34 ¨ 2nd. OWASP Ibero-American Web App Sec 2010 ¨ Dezembro 2010 ¤ISCTE-IUL n Sessões Técnicas/Profissionais n Sessões de Research/Académicas ¤http://www.ibwas.com FISTA@2011 2011
  • 51. OWASP SUMMIT 2011 35 FISTA@2011 2011
  • 52. OWASP 36 ¨ Recomendações (Universidades, CI) ¤Inclusão das boas práticas de segurança de aplicações no conteúdo dos cursos ou UCs ¤Definição de cursos avançados para formação de mão-de-obra na área ¤Fomentar e financiar investigação sobre segurança de aplicações ¤Promover a formação de profissionais capazes de actuar com ética e responsabilidade FISTA@2011 2011
  • 53. OWASP 37 ¨ O que pode a OWASP oferecer ¤know-how ¤ferramentas ¤Global Conference Committee ¤Global Education Committee ¤OWASP Academic Portal FISTA@2011 2011
  • 54. Finalmente... 38 ¨ … juntem-se a nós. ¨ Participem! ¤Mailing List ¤Blog ¤Reuniões ¤Eventos ¤Projectos ¤Ideias ¨ Informação útil ¤http://www.owasp.org ¤http://www.owasp.org/index.php/Portuguese FISTA@2011 2011
  • 55. Segurança * Software Universidade * Empresa Visão da Segurança na Indústria de Software ISCTE-IUL/ISTA/ADETTI-IUL Carlos Serrão Instituto Superior de Ciências do Trabalho e da Empresa carlos.serrao@iscte.pt Lisbon University Institute carlos.j.serrao@gmail.com IUL School of Technology and Architecture ADETTI-IUL http://www.carlosserrao.net http://blog.carlosserrao.net http://www.linkedin.com/in/carlosserrao