dlaczego przejmować się bezpieczeństwem aplikacji (pol)
TRANSCRIPT
![Page 1: Dlaczego przejmować się bezpieczeństwem aplikacji (pol)](https://reader036.vdocuments.mx/reader036/viewer/2022062418/556376e3d8b42a3b708b4e9d/html5/thumbnails/1.jpg)
Bezpieczeństwo aplikacji
Dlaczego się nim przejmować?
![Page 2: Dlaczego przejmować się bezpieczeństwem aplikacji (pol)](https://reader036.vdocuments.mx/reader036/viewer/2022062418/556376e3d8b42a3b708b4e9d/html5/thumbnails/2.jpg)
Trendy rosnące
• Kradzież danych– Głośne „advanced persistent threat”
• Masowe ataki „oportunistyczne”– Przy okazji
• Ataki na systemy VoIP– Bardzo kosztowne
![Page 3: Dlaczego przejmować się bezpieczeństwem aplikacji (pol)](https://reader036.vdocuments.mx/reader036/viewer/2022062418/556376e3d8b42a3b708b4e9d/html5/thumbnails/3.jpg)
Infekcje masowe
• Bez względu na lokalizację strony–Skanowanie, Google
• Rekordowe – po 500 tys.–2008 (MS SQL)–2011 (LizaMoon)
![Page 4: Dlaczego przejmować się bezpieczeństwem aplikacji (pol)](https://reader036.vdocuments.mx/reader036/viewer/2022062418/556376e3d8b42a3b708b4e9d/html5/thumbnails/4.jpg)
Polska
Źródło: CERT.GOV.PL
![Page 5: Dlaczego przejmować się bezpieczeństwem aplikacji (pol)](https://reader036.vdocuments.mx/reader036/viewer/2022062418/556376e3d8b42a3b708b4e9d/html5/thumbnails/5.jpg)
Jak to wygląda z bliska?
![Page 6: Dlaczego przejmować się bezpieczeństwem aplikacji (pol)](https://reader036.vdocuments.mx/reader036/viewer/2022062418/556376e3d8b42a3b708b4e9d/html5/thumbnails/6.jpg)
Adresy URL charakterystyczne dla LizaMoon (2011)
![Page 7: Dlaczego przejmować się bezpieczeństwem aplikacji (pol)](https://reader036.vdocuments.mx/reader036/viewer/2022062418/556376e3d8b42a3b708b4e9d/html5/thumbnails/7.jpg)
![Page 8: Dlaczego przejmować się bezpieczeństwem aplikacji (pol)](https://reader036.vdocuments.mx/reader036/viewer/2022062418/556376e3d8b42a3b708b4e9d/html5/thumbnails/8.jpg)
Tak wygląda zainfekowana strona. Czy jest tu coś podejrzanego? Nie!
![Page 9: Dlaczego przejmować się bezpieczeństwem aplikacji (pol)](https://reader036.vdocuments.mx/reader036/viewer/2022062418/556376e3d8b42a3b708b4e9d/html5/thumbnails/9.jpg)
Kod źródłowy zainfekowanej strony zawiera odwołaniedo kodu infekującego dziurawe przeglądarki osób odwiedzającychtę stronę
![Page 10: Dlaczego przejmować się bezpieczeństwem aplikacji (pol)](https://reader036.vdocuments.mx/reader036/viewer/2022062418/556376e3d8b42a3b708b4e9d/html5/thumbnails/10.jpg)
Celem ataków
oportunistycznychjest użytkownik
![Page 11: Dlaczego przejmować się bezpieczeństwem aplikacji (pol)](https://reader036.vdocuments.mx/reader036/viewer/2022062418/556376e3d8b42a3b708b4e9d/html5/thumbnails/11.jpg)
Serwis jest i ofiarą
i nośnikiem ataku
![Page 12: Dlaczego przejmować się bezpieczeństwem aplikacji (pol)](https://reader036.vdocuments.mx/reader036/viewer/2022062418/556376e3d8b42a3b708b4e9d/html5/thumbnails/12.jpg)
Szkody dla operatora strony
• Trafia na czarne listy– Google Safe Browsing, Microsoft Phishing Filter,
OpenDNS etc.
![Page 13: Dlaczego przejmować się bezpieczeństwem aplikacji (pol)](https://reader036.vdocuments.mx/reader036/viewer/2022062418/556376e3d8b42a3b708b4e9d/html5/thumbnails/13.jpg)
Galeria ataków
![Page 14: Dlaczego przejmować się bezpieczeństwem aplikacji (pol)](https://reader036.vdocuments.mx/reader036/viewer/2022062418/556376e3d8b42a3b708b4e9d/html5/thumbnails/14.jpg)
Recepta na wyciek danych
23 marca 2011
![Page 15: Dlaczego przejmować się bezpieczeństwem aplikacji (pol)](https://reader036.vdocuments.mx/reader036/viewer/2022062418/556376e3d8b42a3b708b4e9d/html5/thumbnails/15.jpg)
Atak na MPiPS
Źródło: MPiPS
![Page 16: Dlaczego przejmować się bezpieczeństwem aplikacji (pol)](https://reader036.vdocuments.mx/reader036/viewer/2022062418/556376e3d8b42a3b708b4e9d/html5/thumbnails/16.jpg)
Wyższa Szkoła Policji w Szczytnie
Sou
rce:
pra
wo.
vagl
a.pl
![Page 17: Dlaczego przejmować się bezpieczeństwem aplikacji (pol)](https://reader036.vdocuments.mx/reader036/viewer/2022062418/556376e3d8b42a3b708b4e9d/html5/thumbnails/17.jpg)
Sąd Okręgowy w Częstochowie
Sou
rce:
pra
wo.
vagl
a.pl
![Page 18: Dlaczego przejmować się bezpieczeństwem aplikacji (pol)](https://reader036.vdocuments.mx/reader036/viewer/2022062418/556376e3d8b42a3b708b4e9d/html5/thumbnails/18.jpg)
Centralna Komisja Egzaminacyjna
Źródło: niebezpiecznik.pl
![Page 19: Dlaczego przejmować się bezpieczeństwem aplikacji (pol)](https://reader036.vdocuments.mx/reader036/viewer/2022062418/556376e3d8b42a3b708b4e9d/html5/thumbnails/19.jpg)
KSEON Optivum
System rekrutacji do szkół ponadgimnazjalnych. Atak SQL injection.Źródło: niebezpiecznik.pl
![Page 20: Dlaczego przejmować się bezpieczeństwem aplikacji (pol)](https://reader036.vdocuments.mx/reader036/viewer/2022062418/556376e3d8b42a3b708b4e9d/html5/thumbnails/20.jpg)
ROEFS
Krajowy Ośrodek EFS (2010) Źródło: niebezpiecznik.pl
![Page 21: Dlaczego przejmować się bezpieczeństwem aplikacji (pol)](https://reader036.vdocuments.mx/reader036/viewer/2022062418/556376e3d8b42a3b708b4e9d/html5/thumbnails/21.jpg)
UM Tarnowskie Góry
Podmiana strony w 2009 roku. Źródło: Dziennik Internautów
![Page 22: Dlaczego przejmować się bezpieczeństwem aplikacji (pol)](https://reader036.vdocuments.mx/reader036/viewer/2022062418/556376e3d8b42a3b708b4e9d/html5/thumbnails/22.jpg)
UM Szczecinek
Domniemany wyciek danych z UM Szczecinek (2009). Źródło: Dziennik Internautów
![Page 23: Dlaczego przejmować się bezpieczeństwem aplikacji (pol)](https://reader036.vdocuments.mx/reader036/viewer/2022062418/556376e3d8b42a3b708b4e9d/html5/thumbnails/23.jpg)
Wcześniej w gov.pl
• 2006 – Instytu Energii Atomowej Otwock• 2007 – NIK, PARP, Min. Sprawiedliwości• 2008 – MPiPS, liczne podstrony KPRM
![Page 24: Dlaczego przejmować się bezpieczeństwem aplikacji (pol)](https://reader036.vdocuments.mx/reader036/viewer/2022062418/556376e3d8b42a3b708b4e9d/html5/thumbnails/24.jpg)
Systemy samorządowe
• UM Płock – czerwiec 2011– Także Komunikacja Miejska, Miejski Zespół
Obiektów Sportowych• UW Łódź – luty 2011• UM Wadowice – lipiec 2011
![Page 25: Dlaczego przejmować się bezpieczeństwem aplikacji (pol)](https://reader036.vdocuments.mx/reader036/viewer/2022062418/556376e3d8b42a3b708b4e9d/html5/thumbnails/25.jpg)
Dywersja
• Ataki z wewnątrz• UM Wrocław
– Wrzesień 2010– Zablokowanie centrum telefonicznego– Były pracownik UM
![Page 26: Dlaczego przejmować się bezpieczeństwem aplikacji (pol)](https://reader036.vdocuments.mx/reader036/viewer/2022062418/556376e3d8b42a3b708b4e9d/html5/thumbnails/26.jpg)
„Głębokie ukrycie”
• Pseudozabezpieczenie i powód do żartów• Raczej na pewno niezgodne z wytycznymi
GIODO• PKO BP (2010) – dane dłużników
– Sąd potwierdził brak faktycznych zabezpieczeń
• Pekao S.A. (2008) – 1500 CV• Łotewskie ministerstwo finansów (2010)
– Kod „ataku” ma trzy linijki
![Page 27: Dlaczego przejmować się bezpieczeństwem aplikacji (pol)](https://reader036.vdocuments.mx/reader036/viewer/2022062418/556376e3d8b42a3b708b4e9d/html5/thumbnails/27.jpg)
7’000 CV
Wyciek danych z Terazpraca.pl (czerwiec 2011). Źródło: Niebezpiecznik.pl
![Page 28: Dlaczego przejmować się bezpieczeństwem aplikacji (pol)](https://reader036.vdocuments.mx/reader036/viewer/2022062418/556376e3d8b42a3b708b4e9d/html5/thumbnails/28.jpg)
Ataki na systemy telefoniczne
• UM Biała Podlaska 2010– Prawdopodobne włamanie do centrali VoIP– 800 połączeń na płatne numery w Zimbabwe– Ok. 50 tys. zł strat
![Page 29: Dlaczego przejmować się bezpieczeństwem aplikacji (pol)](https://reader036.vdocuments.mx/reader036/viewer/2022062418/556376e3d8b42a3b708b4e9d/html5/thumbnails/29.jpg)
Konsekwencje prawne
• GIODO – kary do 50 tys. zł– Odpowiedzialność karna i zakaz
przetwarzania danych
![Page 30: Dlaczego przejmować się bezpieczeństwem aplikacji (pol)](https://reader036.vdocuments.mx/reader036/viewer/2022062418/556376e3d8b42a3b708b4e9d/html5/thumbnails/30.jpg)
Jak to się dzieje?
![Page 31: Dlaczego przejmować się bezpieczeństwem aplikacji (pol)](https://reader036.vdocuments.mx/reader036/viewer/2022062418/556376e3d8b42a3b708b4e9d/html5/thumbnails/31.jpg)
Jak paść ofiarą?
• Metody gwarantowane– Proste hasła FTP, SSH...– Stare wersje Wordpress, Joomla, PHPbb– System CMS, BIP lub inna aplikacja
webowa wykonana dawno temu...
![Page 32: Dlaczego przejmować się bezpieczeństwem aplikacji (pol)](https://reader036.vdocuments.mx/reader036/viewer/2022062418/556376e3d8b42a3b708b4e9d/html5/thumbnails/32.jpg)
Bezpieczny serwis jestprocesem
a niejednorazowym zamówieniem
![Page 33: Dlaczego przejmować się bezpieczeństwem aplikacji (pol)](https://reader036.vdocuments.mx/reader036/viewer/2022062418/556376e3d8b42a3b708b4e9d/html5/thumbnails/33.jpg)
Metody prawdopodobne
• Pisanie własnych aplikacji– Popularna technika programistyczna
„polski agile”• „Dokumentacja? Jaka dokumentacja?”
![Page 34: Dlaczego przejmować się bezpieczeństwem aplikacji (pol)](https://reader036.vdocuments.mx/reader036/viewer/2022062418/556376e3d8b42a3b708b4e9d/html5/thumbnails/34.jpg)
Jak to robić poprawnie?
![Page 35: Dlaczego przejmować się bezpieczeństwem aplikacji (pol)](https://reader036.vdocuments.mx/reader036/viewer/2022062418/556376e3d8b42a3b708b4e9d/html5/thumbnails/35.jpg)
Jak bezpiecznie pisać?
• Metodyki rozwoju dojrzałości systemów bezpieczeństwa– SAMM (Software Assurance Maturity Model)– BSIMM (Building Security in Maturity Model)
• W nich jest cała reszta– SDL (Secure Development Lifecycle)– Testy penetracyjne, przeglądy kodu
![Page 36: Dlaczego przejmować się bezpieczeństwem aplikacji (pol)](https://reader036.vdocuments.mx/reader036/viewer/2022062418/556376e3d8b42a3b708b4e9d/html5/thumbnails/36.jpg)
Systemy zamawiane
• Oddzielenie specyfikacji systemu od implementacji systemu– Zamówienie specyfikacji
• Precyzyjny opis – UML, BPMN– Ocena bezpieczeństwa specyfikacji
• Przegląd, ocena architektury– Zamówienie implementacji– Ocena bezpieczeństwa implementacji
• Testy penetracyjne, analiza kodu źródłowego, skany podatności
![Page 37: Dlaczego przejmować się bezpieczeństwem aplikacji (pol)](https://reader036.vdocuments.mx/reader036/viewer/2022062418/556376e3d8b42a3b708b4e9d/html5/thumbnails/37.jpg)
Bezpieczeństwo specyfikacji
• Dokumentacja założeń i mechanizmów bezpieczeństwa
• Architektura aplikacji• Weryfikacja poprawności danych• Jakie testy mają być wykonane na
gotowym kodzie?
![Page 38: Dlaczego przejmować się bezpieczeństwem aplikacji (pol)](https://reader036.vdocuments.mx/reader036/viewer/2022062418/556376e3d8b42a3b708b4e9d/html5/thumbnails/38.jpg)
Bezpieczeństwo implementacji
• Testy automatyczne (skany)– Kodu źródłowego (Static Code Analysis –
SCA)• Wysoka wykrywalność dziur, wyższy koszt,
pomija bezpieczeństwo infrastruktury– Aplikacji (skan podatności)
• Testuje całe środowisko w rzeczywistym kontekście
• Testy ręczne– Analiza logiki biznesowej, testy penetracyjne
![Page 39: Dlaczego przejmować się bezpieczeństwem aplikacji (pol)](https://reader036.vdocuments.mx/reader036/viewer/2022062418/556376e3d8b42a3b708b4e9d/html5/thumbnails/39.jpg)
Testy systemów zamawianych
• Test produkcyjny– W trakcie pisania aplikacji – wewnętrzna
sprawa wykonawcy
• Test akceptacyjny– Część odbioru aplikacji – wykonuje trzecia
strona lub zamawiający
• Standard opisu poziomu wymagań testowych– OWASP ASVS (Application Security Verification
Standard)
![Page 40: Dlaczego przejmować się bezpieczeństwem aplikacji (pol)](https://reader036.vdocuments.mx/reader036/viewer/2022062418/556376e3d8b42a3b708b4e9d/html5/thumbnails/40.jpg)
Co z eksploatacją?
• Czy dostawca naprawi nowo odkryte dziury?– Jak szybko? Kto za to zapłaci?
• Czy mogę sam naprawić dziury?– Czy mam kod źródłowy? Czy mam do niego prawa?
• Co z bezpieczeństwem infrastruktury?– Serwery, biblioteki programistyczne, serwery
aplikacyjne– Kto załata i jak szybko?
Umowa modelowa: OWASP Secure Software Contract Annex
![Page 41: Dlaczego przejmować się bezpieczeństwem aplikacji (pol)](https://reader036.vdocuments.mx/reader036/viewer/2022062418/556376e3d8b42a3b708b4e9d/html5/thumbnails/41.jpg)
Hosting
Źródło: niebezpiecznik.pl
![Page 42: Dlaczego przejmować się bezpieczeństwem aplikacji (pol)](https://reader036.vdocuments.mx/reader036/viewer/2022062418/556376e3d8b42a3b708b4e9d/html5/thumbnails/42.jpg)
Bezpieczeństwo hostingu
• SLA (Service Level Agreement)– Klauzule w umowach na dostawę usług –
telekomunikacyjnych, hostingowych itd• Typowe SLA dla bezpieczeństwa
– Kto wykonuje kopie zapasowe? Jak często?– Kto łata serwery? Jak szybko?– Kto konfiguruje zapory, IPS?– Kto analizuje alerty systemowe i sieciowe?
Patrz: SANS, „Internal SLA (Service Level Agreements) for Information Security”
![Page 43: Dlaczego przejmować się bezpieczeństwem aplikacji (pol)](https://reader036.vdocuments.mx/reader036/viewer/2022062418/556376e3d8b42a3b708b4e9d/html5/thumbnails/43.jpg)
Koszty łatania dziur
![Page 44: Dlaczego przejmować się bezpieczeństwem aplikacji (pol)](https://reader036.vdocuments.mx/reader036/viewer/2022062418/556376e3d8b42a3b708b4e9d/html5/thumbnails/44.jpg)
Koszty łatania...
Applied Software Measurement, Capers Jones, 1996Building Security Into The Software Life Cycle, Marco M. Morana, 2006
Na etapie rozwoju
![Page 45: Dlaczego przejmować się bezpieczeństwem aplikacji (pol)](https://reader036.vdocuments.mx/reader036/viewer/2022062418/556376e3d8b42a3b708b4e9d/html5/thumbnails/45.jpg)
Na etapie testów...
Applied Software Measurement, Capers Jones, 1996Building Security Into The Software Life Cycle, Marco M. Morana, 2006
Test penetracyjnyAnaliza kodu
![Page 46: Dlaczego przejmować się bezpieczeństwem aplikacji (pol)](https://reader036.vdocuments.mx/reader036/viewer/2022062418/556376e3d8b42a3b708b4e9d/html5/thumbnails/46.jpg)
I najgorsze...
Applied Software Measurement, Capers Jones, 1996Building Security Into The Software Life Cycle, Marco M. Morana, 2006
Włamanie!
![Page 47: Dlaczego przejmować się bezpieczeństwem aplikacji (pol)](https://reader036.vdocuments.mx/reader036/viewer/2022062418/556376e3d8b42a3b708b4e9d/html5/thumbnails/47.jpg)
Literatura i źródła
• OWASP– Open Web Application Security Project– www.owasp.org
• Douglas W. Hubbard– „The Failure of Risk Management”,
Wiley, 2009