Menos Buffer Overflows, más SQL Injections

  • Published on
    03-Jul-2015

  • View
    894

  • Download
    0

Transcript

1. Menos buffer overflows,ms SQL injectionsAndrs Riancho Ekoparty 2010Desayuno de los CIOshttp://www.bonsai-sec.com/ 2. andres@bonsai-sec.com$ whoamiFundador @ BonsaiInformation SecurityDirector of Web Security @ Rapid7Programador (python!)Open SourceEvangelistCon conocimientos en networking, diseo y evasin de IPSLder del proyecto open sourcew3af 3. Muchos buffer overflowsEn el pasado, servicios como IIS, Apache,Oracle, Sendmail y Bind han tenido innumerables problemas de seguridad debido a bugs de seguridad introducidos durante el proceso de desarrollo.Los equipos de desarrollo que trabajaban en estos proyectos introducan al cdigo vulnerabilidades de corrupcin de memoria como:Stack overflowsHeap overflowsFormat stringsOff by oneEsto se deba a falta de conocimiento, desinters de las compaas y falta de inversin en seguridad. 4. Menos buffer overflowsEn la actualidad hay tres factores principales que reducen los riesgos de ser vulnerables a buffer overflows:Los equipos de desarrollo de grandes proyectos han evolucionado e integrado la seguridad en el desarrollo del software.Los lenguajes de programacin de ms alto nivel evitan que el desarrollador introduzca (la mayora)de las vulnerabilidades de corrupcin de memoria.Los sistemas operativos modernos implementan ASLR (Addressspacelayoutrandomization)y NX bit (No eXecute), funciones que reducen la probabilidad de poder ejecutar cdigoen base a una vulnerabilidad que haya llegado a un release productivo. 5. Menos buffer overflowsRecuerdan la ltima vez que sufrimos una vulnerabilidad crtica con la cual fuera posible ejecutar cdigo en IIS?Fuente: www.exploit-db.com 6. Menos buffer overflowsY en Apache?Fuente: www.exploit-db.com 7. Ms SQL injectionsTanto en el pasado como en la actualidad, la gran mayora de las aplicaciones Web son desarrolladas por equipos que desconocen por completo los conceptos bsicos de seguridad en aplicaciones.No se implementan procedimientos de QA para verificar que el cdigo desarrollado sea seguro.Instituciones de todos los tamaos encomiendan el desarrollo de aplicaciones transaccionales a garage software factories y confan su seguridad en ellos. 8. Ms SQL injectionsUna vez detectada una vulnerabilidad en una aplicacin Web, la explotacin es trivial en la mayora de los casos.Los frameworks de desarrollo de aplicaciones Web han mejorado su seguridad, pero todava se encuentran lejos de ser seguros por defecto.Las empresas recin ahora comienzan a tomar conciencia de los riesgos. En cuanto a seguridad en aplicaciones Web, estamos como en los 90 comparado con proyectos como IIS y Apache. 9. Ms SQL injectionsLa minora de las empresas adopta soluciones de seguridad antes de que ocurra un incidente grave, aunque hay numerosas soluciones disponibles en el mercado.Consultora:Participacin de un experto de seguridad en aplicaciones en las reuniones de diseo del equipo de desarrolloWeb Application Penetration TestsCodeReviewCapacitacin a desarrolladores y testersSeguridad en el ciclo de vida del software 10. Ms SQL injectionsLas silverbullets ofrecidos por nuestro proveedor preferido de software y hardware:Web Application Security ScannersStaticCodeAnalyzersWeb Application FirewallsEn manos experimentadas, son de gran ayuda para prevenir las intrusiones de atacantes con conocimientos medios y hasta quizs altos.Insuficientes en su totalidad para reducir el riesgo de vulnerabilidades en la lgica del negocio asociada a la aplicacin. 11. Conclusin: Atacando al eslabn ms dbil 12. Preguntas? 13. Preguntas sugeridasQu tips de seguridad se deben tener en cuenta a la hora de desarrollar una aplicacin web?Cuantasempresasnacionalesconocesquetengan un plan definidoparadesarrollaraplicaciones Web queincluyaseguridad?En tuexperiencia, comocalificaras la seguridad de lasaplicaciones Web de Argentina con respecto a la de otrospaises? 14. Gracias por su atencin!Slides en:http://www.bonsai-sec.com/blog/