Web Security Seminar. Összefoglaló a Proyet Kft március 8-i szakmai rendezvényéről

Átírás

1 Web Security Seminar Összefoglaló a Proyet Kft március 8-i szakmai rendezvényéről

2 Előadások, előadók Cím Téma Előadó Szervezet Web alkalmazás biztonsági alapok Néhány szó arról, hogy mennyire előretörnek a web alkalmazások, miközben nem veszik figyelembe a fejlesztés alapvető szabályait Kollár György Proyet Kft. A nem biztonságos kódolás következményei A mai programozási gyakorlat veszélyei Póserné Oláh Valéria Óbudai Egyetem Nem biztonságos web alkalmazások élőben Web alkalmazás demo Prém Dániel Óbudai Egyetem Automatizált megoldások Sérülékenység menedzsment felsőfokon Marek Skalicky Qualys Inc. Sérülékenységek bemutatása, biztonságos Java programozás Alapvető hibák és javításuk Java nyelven Stephen O'Boyle Espion Ltd. Web alkalmazás biztonsági vizsgálatok Penetrációs teszt, a piszkos részletek Vida Zsolt Proyet Kft. Az alkalmazásbiztonság szabványai Megfelelés a PCI DSS, ISO27001 és más szabványoknak a fejlesztés életciklusában Krasznay Csaba HP Magyarország OWASP top 10 A tíz legnagyobb probléma ma Kollár György Proyet Kft. QualysGuard WAS 2.1 Web alkalmazások biztonság menedzsmentje megoldás a felhőből Marek Skalicky Qualys Inc. Code Review Tools A Code Review áttekintése, az alkalmazható eszközök bemutatása Stephen O'Boyle Espion Ltd. Freemium services Ingyenesen elérhető Qualys szolgáltatások Marek Skalicky Qualys Inc.

3 Web alkalmazás biztonsági alapok Előadó: Kollár György, CISSP A Web alkalmazásokra egyre nagyobb az igény, miközben a fejlesztők képzése teljesen elhanyagolja a biztonsági kérdéseket, a megrendelők nem kötik ki a biztonságos programozást, a fejlesztés során nem tervezik be a biztonsági ellenőrzéseket. Proyet Consulting Kft. So it is said that if you know both the enemy and yourself you will fight a hundred battles without danger of defeat. /Sun Tzu/

4 Web alkalmazás biztonsági alapok Kollár György Megrendelő Nem szakértő Gazdasági megfontolások Szempont Legyen látványos Legyen érthető Legyen hasznos Nem szempont Legyen biztonságos Legyen hatékony Legyen robusztus

5 Web alkalmazás biztonsági alapok Kollár György Fejlesztő Fejleszteni tanult Programnyelvek Adatbázis kezelés Web elemek Nem foglalkozik a következőkkel Hálózati ismeretek Biztonságos kódolás Kockázatelemzés

6 Web alkalmazás biztonsági alapok Kollár György Következtetés "If builders built buildings the way programmers wrote programs, then the first woodpecker that came along would destroy civilization." Weinberg's Second Law Ha az építőipar úgy építene, ahogy a programozók készítik programjaikat, az első jöttment harkály lerombolhatná az egész emberi civilizációt. Weinberg második törvénye

7 Web alkalmazás biztonsági alapok Kollár György Teendők Biztonságosabb programokra van szükség A megrendelők azt kapják, amit megrendelnek A fejlesztők azt fejlesztik, amit várnak tőlük A hibák időben derüljenek ki Javítsunk a kár bekövetkezése előtt Életciklus szemlélet Biztonsági elvárások megfogalmazása A biztonság beépítése Ellenőrzés Csapatmunka Oktatás

8 Nem biztonságos kódolás következményei Előadó: Póserné Oláh Gabriella Óbudai Egyetem Az előadás kiválóan bizonyítja azt, hogy nincs szükség felsőfokú ismeretekre ahhoz, hogy web alapú alkalmazásokkal visszaéléseket kövessen el valaki. A módszeres vizsgálattal olyan egyszerűen kihasználható sérülékenységeket tudunk találni, amikkel nagy károk okozhatók.

9 Nem biztonságos kódolás következményei Póserné Oláh Gabriella Egy támadás alapvető lépései

10 Nem biztonságos kódolás következményei Póserné Oláh Gabriella Felderítés Információ gyűjtés A felderítőfázisban információ a rendszerről kézi és automatizált technikával. Kézi technika: segít azonosítani az internetes alkalmazást, milyen információ szivárog (alkalmazási oldalak, http fejlécek, Firefox beépülő modul, hibaüzeneteket okozó adatok).

11 Nem biztonságos kódolás következményei Póserné Oláh Gabriella Bejelentkezés az admin portálba

12 Nem biztonságos web alkalmazások élőben Előadó: Prém Dániel Óbudai Egyetem Az előző előadáshoz szervesen kapcsolódó bemutató, ahol a gyakorlatban illusztráljuk, hogy néhány perc alatt is át lehet hatolni nem megfelelően kialakított védelmi rendszereken, és olyan információkat lehet kinyerni/módosítani, amik a szervezetnek jelentős károkat tudnak okozni.

13 Nem biztonságos web alkalmazások élőben Prém Dániel Hibás gyakorlat kihasználása Az élő bemutatót nehéz összefoglalni két dián. A lényeg, hogy viszonylag rövid idő alatt olyan információkhoz lehet hozzáférni, amelyekkel jelentős kárt tud okozni egy rossz szándékú egyén is. Az ilyen tevékenység a legtöbbször annyira egyszerű és kézenfekvő, hogy különösebb képzés nélkül is bárki meg tudná csinálni, és sokszor nem szükséges rossz szándék sem, hogy ilyenekbe belebotoljon valaki.

14 Nem biztonságos web alkalmazások élőben Prém Dániel Egy egyszerű XSS teszt Írjuk be a beviteli mezőbe: <<SCRIPT>alert("XSS");//<</SCRIPT> Ha egy ablak jelenik meg a képernyőnkön, a beviteli mező sérülékeny! (Ha nem, akkor sem biztos, hogy más támadást kivéd )

15 Automatizált megoldások Előadó: Marek Skalicky, CISM, CIRSC Qualys Inc. Web alkalmazások esetében kiemelt fontosságú, hogy a platformunk megbízhatóan és biztonságosan működjön. A biztonságos működés fenntartásához folyamatos ellenőrzésre van szükség, ez pedig csak automatikus eszközökkel valósítható meg hatékonyan.

16 Automatizált megoldások Marek Skalicky Qualys at a Glance Software-as-a-Service (SaaS) Founded in 1999 to deliver a SaaS VM Expanded the service as suite of SaaS Security and Compliance offerings Last round of funding in employees (50% R&D and Operations) global customers 50% of Fortune % of Fortune % Forbes Global 2000 US 65%, EMEA 30%, Asia 5% 7,000+ scanner appliances in 85 countries 600+ million IP scans in 2011 Highest possible rating of Strong Positive Largest market share Highest possible rating of Leader The leading vendor Market Share Leadership

17 Automatizált megoldások Marek Skalicky QualysGuard Suite delivers PaaS / IaaS Private Clouds Public Clouds SaaS Internet Scanning for ICT vulnerabilities Scanning for Web App vulnerabilities Provides Exploitability and Malware info Provides Zero-Days Attack info Provides SOLUTION description Calculates ICT Risk and Business Risk Auditing ICT Configuration Provides CONTROLS description Measures ICT Compliance Provides PCI-DSS ASV scanning Provides PCI-DSS SAQ report Scans for Malware in Web Apps Provides Security certification for WAS

18 Automatizált megoldások Marek Skalicky QualysGuard Suite Overview

19 Number of Scans Automatizált megoldások Marek Skalicky Six Sigma Scanning Accuracy Qualys Six Sigma Accuracy Scanned IPs (M) Reported Cases Actual Bugs , SIX SIGMA , , QG Scan Accuracy (%) SCANNING ACTIVITY ,

20 Biztonságos Java programozás Előadó: Stephen O Boyle Espion Ltd. A programozás szépsége, hogy egy bizonyos feladatot számtalan módon meg lehet oldani. Sajnos a funkcionálisan megfelelő megoldások nem mindegyike biztonságos is. Az előadás néhány példával illusztrálja a különbséget.

21 Biztonságos Java programozás Stephen O Boyle Why are Applications Insecure? We make them insecure! Lack of Security Training & Awareness Lack of security touchpoints in SDLC Conflicting objectives

22 Biztonságos Java programozás Stephen O Boyle What is Applicatiom Security?..measures taken throughout the application's life-cycle to prevent exceptions in the underlying system (vulnerabilities) through flaws in the design, development, deployment, upgrade, or maintenance of the application.

23 Biztonságos Java programozás Stephen O Boyle Secure SDLC Requirements SDLC Dev Process Security Policies Training Best Practices Design Implementation Testing Deployment Maintenance Threat modelling / Risk assessment Secure Coding Guidelines Secure Code Review Manual Penetration Testing Automated Penetration Testing Manual Penetration Testing Server Hardening Vulnerability Assessment Regular Penetration Testing Regular Vulnerability Assessment Log Monitoring

24 Web alkalmazás biztonsági vizsgálatok Előadó: Vida Zsolt, CEH Az előadó testközelből mutatja be a tesztelés módszereit, eszközeit, a tesztelési folyamatot, az eredményeket, és a megrendelő hasznát a teszt során. Proyet Consulting Kft. So it is said that if you know both the enemy and yourself you will fight a hundred battles without danger of defeat. /Sun Tzu/

25 Web alkalmazás biztonsági vizsgálatok Vida Zsolt Etikus hacker munka közben Etikus hacknél fontos a szisztematizmus: minden menüpont, minden bemenet, minden funkció és tulajdonság essen vizsgálat alá. A hackernek elég lehet egyetlen sebezhető pont is. Információgyűjtés: a legfontosabb rész. Hogy tudnánk valamit megtámadni, ha nem tudunk róla a lehető legtöbbet? - Web crawlers, dir scanners - Az alkalmazás belépési pontjai, hol fogad adatot? - Milyen technológia, milyen adatbázis, milyen webszerver? - Nem saját fejlesztésű termék, keretrendszer esetén: van ismert sebezhetőség? (securityfocus, exploit-db) - Van adminisztrátori felület? PhpMyAdmin? - Fájl letöltési, feltöltési lehetőségek.

26 Web alkalmazás biztonsági vizsgálatok Vida Zsolt Etikus hacker munka közben Teszt A begyűjtött információk alapján lehetséges támadási pontok keresése. - Bemenetek fuzzolása (nem csak a felhasználó által megadhatók!) - A paraméterek megfelelően validáltak? - Információ szivárogtató pontok - Hibás, rossz konfigurációs beállítások keresése - Hibák az alkalmazás logikájában - File inclusion lehetőségek keresése - Forráskódban felejtett információk (sql query, jelszó) - Sessionkezelés

27 Web alkalmazás biztonsági vizsgálatok Vida Zsolt Etikus hacker munka közben Támadás A begyűjtött információk birtokában a lehető legnagyobb jogosultsági szinten távoli kódfuttatás elérése, szenzitív adatokhoz hozzáférés. - Bejelentkezés megkerülése - Adminisztrátori felület elérése (milyen a jelszavak minősége?) - Adatbázis elérése, módosítása (sql injection) - Nem engedélyezett műveletek végrehajtása (jogosultságok, xsrf) - Munkamenet lopás lehetősége? (xss) - A webszerver komprommitálása (file inclusion, fájlfeltöltés) - A DoS nem cél!

28 Web alkalmazás biztonsági vizsgálatok Vida Zsolt Etikus hacker munka közben Dokumentáció: részletes lista, mely táblázatszerűen tartalmaz minden talált sebezhetőséget - leírással - reprodukálást segítő útmutatással, proof of concept kóddal - kockázati besorolással - képernyőképekkel, megszerzett információkkal - javaslattal a kijavítást segítendő

29 Az alkalmazásbiztonság szabványai Előadó: Krasznai Csaba, CISA, CISM, CISSP, CEH A biztonságos fejlesztéssel több szabvány is foglalkozik. Hogy melyik helyzetben melyik alkalmazható, és melyik mire tér ki, mire alkalmazható, és mik a hiányosságai, az vendégelőadónk előadása után valamivel világosabb lesz.

30 Az alkalmazásbiztonság szabványai Krasznay Csaba Összefoglalás Az alkalmazások biztonságos fejlesztése egy méltatlanul háttérbe szorított terület az információbiztonságon belül Ennek ellenére minden jelentősebb biztonsági szabványban, jogszabályban szerepel, mint követelmény Az előadás bemutatja a szabályozó követelményeket az alábbi szabványokban: PCI DSS FISMA (csak azért, hogy lássuk, milyen követelményeket kéne a közigazgatásnak szabnia) CObIT ISO A magyar jogszabályi környezet a Common Criteria-ra épít ezen a területen

31 Az alkalmazásbiztonság szabványai Krasznay Csaba Biztonságos alkalmazásfejlesztés folyamata Nincs konkrét követelmény Nincs konkrét követelmény Átvizsgálás és kivonás Projektindítás és tervezés Funkcionális követelmények meghatározása Általában kiolvasható Nincs konkrét követelmény Üzemeltetés és fenntartás Rendszertervezés Nincs konkrét követelmény Nincs konkrét követelmény Telepítés Fejlesztés és dokumentálás Nincs konkrét követelmény Penteszt követelmények Elfogadás

32 OWASP top 10 Előadó: Kollár György, CISSP Az Open Web Application Security Project egy nonprofit szervezet a web alkalmazások biztonsági kérdéseinek kezelésére. Folyamatosan nyilvántartják a tíz legkritikusabb hibát, és időnként nyilvánosságra hozzák a változásokat az élmezőnyben. Ha ezeket a hibákat el tudjuk kerülni, alkalmazásaink nagyságrendekkel biztonságosabbak lesznek. Proyet Consulting Kft. So it is said that if you know both the enemy and yourself you will fight a hundred battles without danger of defeat. /Sun Tzu/

33 OWASP Top Ten (2010 Edition)

34 QualysGuard WAS 2.1 Előadó: Marek Skalicky Qualys Inc. A Qualys megoldásai túlmutatnak az egyszerű hálózati sérülékenységek vizsgálatokon. Az alkalmazási réteg vizsgálatával a legtöbb OWASP top 10 hiba automatikusan kimutatható, rengeteg web lap ellenőrizhető költséges manuális tesztelés nélkül.

35 QualysGuard WAS 2.1 Marek Skalicky QualysGuard WAS 2.1 Discovering, cataloging and managing large numbers of web applications with high accuracy Low false positives Flexible scanning options Interactive Dashboard Drill down reporting Cost effective Review and Report Results Discover Web Applications Catalog and organize WAS Scan

36 QualysGuard WAS 2.1 Marek Skalicky QualysGuard WAS 2.1 Highly automated Dynamic Application Security Testing Scanning that is scalable to thousands of applications Authenticated and non-authenticated scanning Intelligent web app crawler and scanner Provide 8 of OWASP Top10 (SQL injection, Blind SQL injection, XSS, CSRF, Web Traversal, Insecure Direct Object Reference, Security Misconfiguration) SaaS based delivery to get up and running quickly and efficiently Updated constantly (11 Engine releases since 2010) Deployed in minutes using external and internal scanners Scanner personal expertise or training not needed Reports available immediately upon scan completion

37 QualysGuard WAS 2.1 Marek Skalicky QualysGuard Malware Detection Service Defends Sites Against Malware Avoid website blacklisting Defend against zero-day attacks Prevent visitors from getting infected Identify malicious code Protect against Loss of revenue and data Brand reputation damage How it works Alerts users via when Malware identified Enterprise features to manage many sites Dashboard Site Filtering Tagging/Reporting

38 QualysGuard WAS 2.1 Marek Skalicky WAF - Web Application Firewall

39 QualysGuard WAS 2.1 Marek Skalicky MDS Malware Detection Service

40 Code Review Tools Előadó: Stephen O Boyle Espion Ltd. Alkalmazások kritikus részeit célszerű kódvizsgálat alá vetni. A Code Review áttekintése, az alkalmazható eszközök bemutatása az előadás tárgya, szóba kerül a manuális és automatikus tesztelés különbsége, hatékonysági és pontosságbeli kérdések is helyet kapnak.

41 Code Review Tools Stephen O Boyle Find & Fix

42 Code Review Tools Stephen O Boyle Secure at the Source

43 Code Review Tools Stephen O Boyle Prevention is Better than Cure!

44 Code Review Tools Stephen O Boyle Static Code Tools What tools are good at? Find all instances of a flaw. Searching code for signatures that may indicate presence of vulnerabilities E.g.Java.sql.Statement.execute Verify controls are used in all required places.

45 Code Review Tools Stephen O Boyle Static Code Tools What tools are not good at? Lot of False Positives Business Logic Issues Predictable Resource Location Weak Password Recovery Validation Direct Object References or vulnerabilities that depend on state of the application. Configuration flaws

46 Freemium services Előadó: Marek Skalicky Qualys Inc. A Qualys portfóliójában ingyenesen elérhető szolgáltatások is találhatók. Ezek segítségével olyan eszközökhöz juthatunk, amik segítségével biztonsági állapotunkat jelentősen tudjuk javítani anélkül, hogy jelentős kiadásokba vernénk magunkat.

47 Freemium services Marek Skalicky Qualys FreeScan for Web Sites 5 External Scans for your Perimeter and Web site: IP Vulnerability Scan Web Application Vulnerability Web Application Malware scan Full Reporting functionality Register here:

48 Freemium services Marek Skalicky SECURE Seal for Web sites

49 Freemium services Marek Skalicky SECURE Seal 4 Automated Scans Malware Detection (Daily) Detects malicious software that could be hosted by the web site and infect visitors Perimeter Scanning (Weekly) Identifies externally facing vulnerabilities of the web server that could give attackers access to information stored on the host Web Application Scanning (Weekly) Crawls and injects HTTP requests to the web application to identify vulnerabilities such as SQL injection and Cross-Site Scripting (XSS) SSL Certificate Validation (Weekly) Verifies the web site is using an up-to-date SSL certificate from a trusted certificate authority (CA) for encryption of sensitive information during online transactions

50 Freemium services Marek Skalicky Free BrowserCheck Business Edition Audit state of browsers security in the enterprise Simple & Scalable Multiple platform & browsers Multiple Browser Plugins Centralized Reporting No SW/HW to install! Easy way to find out What plug-ins are installed? Are they out of date? Is there an update available? Where do I get updates? Supports leading browsers Register here:

51 Freemium services Marek Skalicky Free SSL Lab Audit Service Audit implementation of SSL protocol on you Web Certificate Validity and Trust SSL Protocol version support Encryption Cipher Strength Encryption Key Exchange SOLUTION description Risk of Attack description Register here:

52 Összefoglalás a Proyet Kft. szolgáltatásairól A Proyet Kft. informatikai auditori, szakértői és tanácsadói szolgáltatásokat kínál. Több mint 20 éves informatikai és 8 éves informatikai biztonsági tapasztalat Nemzetközi szakmai minősítések CISA (Certified Information Systems Auditor) CISM (Certified Information Security Manager) CISSP (Certified Information Systems Security Professional) CEH (Certified Ethical Hacker) ISO Lead Auditor ITIL-F Certificate Erős szakmai fókusz Professzionális partnerek Tanúsított ISO 9001 Szakmai felelősségbiztosítás

53 Összefoglalás a Proyet Kft. szolgáltatásairól Kiemelt szolgáltatásunk az informatikai rendszerek biztonsági kockázatainak csökkentése: a sebezhetőségek kialakulásának megakadályozása a meglévő sebezhetőségek feltárása a sebezhetőségek javítása azaz a biztonság menedzselése. A következő oldalakon megadjuk azokat a konkrét szolgáltatásokat, amelyek az informatikai alkalmazások fejlesztési és üzemeltetési életciklusához kapcsolódnak.

54 Alkalmazás fejlesztés Összefoglalás a web alkalmazásokat üzemeltető szervezetek számára (fejlesztési fázis) Biztonsági faktorok Szerződéskötés Proyet Consulting szolgáltatások A műszaki specifikáció biztonsági tartalmának átvizsgálása Monitorozás Átadás-átvételi tesztelés Code Review Web Application Scan Code Review Vulnerability Web Application Scanner Scan Penetration Penetration Test Test Fejlesztés-biztonsági audit

55 Alkalmazás üzemeltetés Összefoglalás a web alkalmazásokat üzemeltető szervezetek számára (üzemeltetési fázis) Biztonsági faktorok Biztonsági felügyelet Proyet Consulting szolgáltatások Web Application Scan Penetration Test Változás kezelés Környezeti biztonság (hálózat, op rendszer stb.) A specifikáció biztonsági átvizsgálása Web Application Scan Penetration Test Vulnerability Vulnerability Scanner Penetration Penetration Test Test Üzemeltetés-biztonsági audit

56 Alkalmazás fejlesztés Összefoglalás a web alkalmazásokat fejlesztő szervezetek számára Biztonsági faktorok Proyet Consulting szolgáltatások Szabályozott környezet Alkalmazás fejlesztési szabályzat elkészítése Közbülső tesztelések Code Review Web Application Scan A biztonságos fejlesztési folyamat tanúsítása