Cybsec Tendencias2007 Seguridad SDLC

Seguridad en el ciclo de vida del
desarrollo de software
Lic. Pablo Milano
<pmilano@cybsec.com>
12 de Septiembre de 2007
Buenos Aires - Argentina
Seguridad en el ciclo de vida del desarrollo de software
Introduccin
2007
Introduccin a la seguridad en el SDLC
Actualmente la mayora de los procesos de desarrollo no incluyen

seguridad, o bien la incluyen al final (etapa de testing)
El costo de solucionar las vulnerabilidades es mayor cuanto ms
Tiempo
Deployment
Testing
Codificacin
Diseo
Analisis
tarde se detectan las mismas (igual que los bugs)
Costo
Introduccin
2007
Grandes mitos y excusas flacas

La seguridad de la aplicacin es responsabilidad del programador.
Nadie sabe cmo funciona, por ende, no la van a atacar.
Si no se encontraron vulnerabilidades hasta ahora
A nadie le interesara atacar nuestra aplicacin.
La aplicacin es segura porque corre detrs de un firewall.
La aplicacin es segura porque usa encripcin.
Si no corre como Administrator / root, no funciona.
Si, ese feature (que es inseguro) viene habilitado por default, pero el
administrador lo puede deshabilitar.
No hay manera de explotarla.
No hay tiempo para incluir seguridad.
Introduccin
2007
Tendencia actual
Participacin de Seguridad Informtica desde el comienzo de

todos los proyectos de desarrollo.
Incorporar seguridad a lo largo de todas las etapas del ciclo de

vida del desarrollo de software (SDLC).
Anlisis
Diseo
Codificacin
Testing
Deployment
Seguridad en el anlisis de requerimientos
2007

Durante el anlisis de requerimientos, se pueden identificar diversas
caractersticas que derivarn en los requerimientos de seguridad del
software. Por ejemplo:
Arquitectura de la aplicacin
Cliente/servidor o Desktop?
Plataforma donde correr la aplicacin

PC / Palm / Telfono celular
Tipos de datos que se almacenan o transfieren

Confidenciales / pblicos
Requerimiento de compliance con normativas y marcos regulatorios

SOX, PCI-DSS, A 4609
5
2007
Tipos de registro que el sistema debe generar

Acceso a recursos, uso de privilegios, etc.
Perfiles de usuario necesarios para la aplicacin

Administrador, revisor, editor, usuario bsico, etc.
Tipos de acceso a los datos por parte de cada perfil
Lectura, escritura, modificacin, agregado, borrado, etc.
Acciones sobre el sistema que puede hacer cada perfil

Cambiar la configuracin del sistema
Arrancar o detener servicios
Modos de autenticacin
Passwords, Tokens, Biomtricos
1 factor, 2 factores, etc
6
Seguridad en el diseo
2007
Muchas de las vulnerabilidades encontradas en aplicaciones tuvieron
su causa en errores de diseo. Ej:
Aplicacin Home banking (WEB)
Inclua el nmero de cuenta en el request de transferencias
No validaba que la cuenta origen perteneciera al usuario logueado
Vulnerabilidad: Transferencias desde cuentas ajenas
Aplicacin de Adm y Finanzas (Consola Unix)
Tomaba el usuario de una variable de entorno
Permita que el usuario escapara a un shell
Vulnerabilidad: Se puede establecer un usuario arbitrario
7
2007
Buenas prcticas para el diseo de una aplicacin segura
Reduccin de Superficie de ataque
Criterio del menor privilegio
Fallar de manera segura
Criterio de defensa en profundidad
Diseo seguro de mensajes de error
Diseo seguro de autenticacin
Separacin de privilegios
Interaccin amigable con Firewalls e IDS's.
Administracin segura informacin Sensible
Diseo de Auditora y Logging
Anlisis de riesgo
8
2007
Anlisis de riesgo Threat Modeling

Tcnica formal, estructurada y repetible que permite determinar y
ponderar los riesgos y amenazas a los que estar expuesta nuestra
aplicacin.
Consta de las siguientes etapas:
1)
Conformar un grupo de anlisis de riesgos
2) Descomponer la aplicacin e identificar componentes clave.

3)
Determinar las amenazas a cada componente de la aplicacin.
4) Asignar un valor a cada amenaza.

5) Decidir cmo responder a las amenazas.
6) Identificar las tcnicas y tecnologas necesarias para mitigar los
riesgos identificados.
9
2007
Mtodo STRIDE
Ayuda a identificar amenazas en los componentes de un sistema
Su nombre es un acrnimo de:
Spoofing Identity: Suplantar la identidad de otro usuario o servicio.
Tampering with Data: Modificar maliciosamente datos almacenados.
Repudiation: Imposibilidad de identificar el autor de una accin.
Information Disclosure: Divulgar informacin a usuarios no autorizados.
Denial of Service: Provocar que un servicio deje de funcionar.
Elevation of privilege: Conseguir privilegios mayores a los asignados
10
2007
rboles de ataque
Amenaza #1
Un usuario accede en
nombre de otro
1.1
El usuario tena una
contrasea dbil
1.2
El atacante captur
datos de autenticacin
de la red
1.2.1
La comunicacin no
estaba encriptada
1.3
El sistema permiti un
ataque de diccionario /
fuerza bruta
1.2.2
El mecanismo de
autenticacin es
vulnerable a replay
de paquetes
1.4
El sistema de
validacin /
autenticacin es
defectuoso
1.4.1
El sistema de
validacin no falla de
manera segura
1.5
El sistema permite
armar peticiones con
IDs de otros usuarios
1.4.2
El sistema de
validacin es
vulnerable a ataques
de SQL Injection
11
2007
Mtodo DREAD
Ayuda a ponderar las amenazas identificadas.
Es un acrnimo de los siguientes 5 tems:
Damage Potencial: Cun importante es el dao de esta amenaza?

Reproducibility: Cun reproducible es la vulnerabilidad?
Exploitability: Cun fcil es de explotar?
Affected Users: Cules y cuntos usuarios se veran afectados?
Discoverability: Cun fcil de descubrir es la vulnerabilidad?
12
Seguridad en la codificacin
2007
La falta de controles adecuados en la codificacin, muchas veces
deriva en vulnerabilidades que pueden comprometer a la aplicacin o
a los datos de la misma
Los tipos de vulnerabilidades ms habituales son:

Stack buffer overflows
Heap buffer overflows
SQL Injections
Cross Site Scripting (XSS)
Directory Traversal
Authentication Bypass
Information Disclosure
Escalamiento de privilegios
Manejo inseguro de sesiones
Denegacin de servicio
13
2007
Buenas prcticas para una codificacin segura

Validar siempre los datos de entrada antes de procesarlos
Nunca confiar en que los datos recibidos sean correctos.
Realizar validacin de datos en todas las capas
Usar siempre criterio de White List en las validaciones
Controlar tamao y tipo de datos
Sanitizar los valores de entrada y salida
Eliminar o escapear caracteres especiales
Transformar los datos de entrada a un encoding establecido
Reemplazar sentencias SQL dinmicas por Stored Procedures
Evitar generar cdigo con valores ingresados por el usuario
No mezclar datos con cdigo
Capturar errores de capas inferiores y no mostrarlos al usuario
14
Testing de seguridad
2007
Testing funcional Vs. Testing de seguridad
Bugs que se
encuentran mediante
Funcionalidad diseada
Funcionalidad real
Bugs que se
encuentran mediante
Testing funcional
15
2007
Tcnicas de testing de seguridad

Testing de seguridad funcional
Testing
Funcional
(clsico)
aplicado
las
funcionalidades
de
seguridad de una aplicacin. Ej:

Req. de autenticacin
Restricciones de acceso segn diseo
Req. de complejidad de contraseas
Mecanismos de registro y logging
Bloqueo automtico de cuentas
Mensajes de error especificados
Funcionalidad de captchas
Testing de seguridad basado en Riesgo

Tcnica que se desprende del Threat Modelling
Se identifican todas las interfaces de la aplicacin
Se generan casos de test sobre cada interfaz basado en STRIDE
16
2007

Testing con un cliente / server falso
Consiste en disear un cliente o server Ad Hoc que permita:
Enviar peticiones /respuestas incorrectas o invlidas.
Enviar peticiones/ respuestas fuera de orden.
Insertar delays arbitrarios.
Comportarse de manera diferente al cliente o servidor real.
Test de stress
Consiste en llevar la carga o funcionalidad de la aplicacin al lmite
Generar una carga alta de peticiones/transacciones a la aplicacin.
Mantener esta carga durante tiempos prolongados.
Simular trfico en rfagas.
17
2007

Test de mutacin de datos
Se testea la aplicacin ingresando en sus interfaces datos mutados
Diferente signo
Caracteres especiales
Diferente tipo
Cdigo (ej: javascripts)
Diferente longitud
Valores nulos
Fuera de rango
Valores aleatorios
Revisin de cdigo
Permite encontrar vulnerabilidades que son muy difciles de detectar
con otros mtodos de testing de seguridad (ej: BackDoors)
Enfoque tradicional: Grupo de revisin

Enfoque rpido: Revision por pares
18
Seguridad en la Implementacin
2007
Seguridad en la implementacin (deployment)

Si no se implementa la aplicacin de forma segura, se pueden echar
por tierra los esfuerzos de las etapas anteriores.
Hardening de software de base
Servicios innecesarios
Usuarios y contraseas default
Configuracin de intrpretes
Proceso de implementacin
Separacin de ambientes
Administracin de implementacin y mantenimiento
Releases y Patches
Firma de cdigo
19

2007
Conclusiones
Integrando seguridad a lo largo de todas las etapas del SLDC se
ahorra tiempo y dinero.
La tendencia actual es que SI participe desde el principio de los
proyectos de desarrollo.
La mayora de las vulnerabilidades no se deben a errores de
codificacin, sino a defectos de diseo.
Existen buenas prcticas y tcnicas especficas para insertar
seguridad en cada etapa del SDLC.
20

2007
Preguntas?
21

Cybsec Tendencias2007 Seguridad SDLC

Cargado por

Copyright:

Formatos disponibles

Cybsec Tendencias2007 Seguridad SDLC

Cargado por

Información del documento

Descripción original:

Derechos de autor

Formatos disponibles

Compartir este documento

Compartir o incrustar documentos

Opciones para compartir

¿Le pareció útil este documento?

¿Este contenido es inapropiado?

Copyright:

Formatos disponibles

Cybsec Tendencias2007 Seguridad SDLC

Cargado por

Copyright:

Formatos disponibles

Seguridad en el ciclo de vida del

Seguridad en el ciclo de vida del desarrollo de software

Introduccin a la seguridad en el SDLC

Actualmente la mayora de los procesos de desarrollo no incluyen

tarde se detectan las mismas (igual que los bugs)

Seguridad en el ciclo de vida del desarrollo de software

Grandes mitos y excusas flacas

Seguridad en el ciclo de vida del desarrollo de software

Participacin de Seguridad Informtica desde el comienzo de

Incorporar seguridad a lo largo de todas las etapas del ciclo de

Seguridad en el ciclo de vida del desarrollo de software

Seguridad en el anlisis de requerimientos

Seguridad en el anlisis de requerimientos

Plataforma donde correr la aplicacin

Tipos de datos que se almacenan o transfieren

Requerimiento de compliance con normativas y marcos regulatorios

Seguridad en el ciclo de vida del desarrollo de software

Seguridad en el anlisis de requerimientos

Tipos de registro que el sistema debe generar

Perfiles de usuario necesarios para la aplicacin

Acciones sobre el sistema que puede hacer cada perfil

Seguridad en el ciclo de vida del desarrollo de software

Seguridad en el ciclo de vida del desarrollo de software

Buenas prcticas para el diseo de una aplicacin segura

Reduccin de Superficie de ataque

Criterio del menor privilegio

Fallar de manera segura

Criterio de defensa en profundidad

Diseo seguro de mensajes de error

Diseo seguro de autenticacin

Interaccin amigable con Firewalls e IDS's.

Administracin segura informacin Sensible

Diseo de Auditora y Logging

Seguridad en el ciclo de vida del desarrollo de software

Anlisis de riesgo Threat Modeling

Conformar un grupo de anlisis de riesgos

2) Descomponer la aplicacin e identificar componentes clave.

Determinar las amenazas a cada componente de la aplicacin.

4) Asignar un valor a cada amenaza.

Seguridad en el ciclo de vida del desarrollo de software

Seguridad en el ciclo de vida del desarrollo de software

Seguridad en el ciclo de vida del desarrollo de software

Ayuda a ponderar las amenazas identificadas.

Es un acrnimo de los siguientes 5 tems:

Damage Potencial: Cun importante es el dao de esta amenaza?

Seguridad en el ciclo de vida del desarrollo de software

Los tipos de vulnerabilidades ms habituales son:

Heap buffer overflows

Cross Site Scripting (XSS)

Seguridad en el ciclo de vida del desarrollo de software

Buenas prcticas para una codificacin segura

Seguridad en el ciclo de vida del desarrollo de software

Testing funcional Vs. Testing de seguridad

Seguridad en el ciclo de vida del desarrollo de software

Tcnicas de testing de seguridad

seguridad de una aplicacin. Ej:

Restricciones de acceso segn diseo

Req. de complejidad de contraseas

Mecanismos de registro y logging