Incorporando la Seguridad de la. Software

Tamaño: px

Comenzar la demostración a partir de la página:

Download "Incorporando la Seguridad de la. Software"

Esther Castillo Crespo
hace 8 años
Vistas:

1 Incorporando la Seguridad de la Información al Desarrollo de Software Juan Carlos Herrera Marchetti VP Research&Development UshiroLabs Uhi UshiroSecurity it de Colombia

2 Agenda Estado del Arte Casos de Estudio Desmitificación Principios, Métodos y Técnicas Problema de Fondo Desarrollo de Software Seguro Soluciones A gran escala Casos de Estudio Temas no cubiertos Criptografía Privacidad Aspectos Legales Excepto menciones Metodologías Excepto menciones

Soluciones A gran escala Casos de Estudio Temas no cubiertos

3 Glosario Trustworthiness No exploitablevulnerabilitiesexist, eitherofmaliciousorunintentionalorigin PredictableExecution Justifiableconfidencethat software, whenexecuted, functions as intended Dependeable Safety/Security

4 Conceptos/Principios/Requisitos De la INFORMACION Confidencialidad Integridad Disponibilidad

5 Principios de Seguridad de la Información Confidencialidad Integridad Disponibilidad Aplicados al Software La información VIVE en el software Mas allá de los datos Mas allá de los hackers

7 Tipos Diseño/Arquitectura Código (Lógica, Practicas) Desconocidos Procesos de Negocio, Algoritmos, etc. Conocidos OWASP/SANS/CWE Los mismos de siempre (Cero innovación!) INACEPTABLES

8 De acuerdo al sumario que se abrió en su oportunidad en contra del magistrado, habría incurrido en irregularidad al manipular el Sistema Informático de los Tribunales de Familia (Sitfa) para radicar su causa en el juzgado.

irregularidad al manipular el Sistema Informático de

9 Michelsonaplicó un complejo sistema que permitió defraudar a la entidad financiera, la que consistía en girar cheques propios y al mismo tiempo darles orden de no pago por extravío. Luego, el imputadodepositaba p los documentos en cajeros automáticos y por un "déficit del sistema informático" del banco, estos dineros eran ingresados a su cuenta y, finalmente, retirados por ventanilla.

Luego, el imputadodepositaba p los documentos en cajeros automáticos y por un "déficit del

10 - El 15 de Julio del 2009 Josh Muszynski, compro los cigarros mas caros de la historia! - La transacción fue repetida veces - Explicación de VISA: temporaryprogrammin g error at Visa DebitProcessingServic es

11 Caso Toyota (Safety)

16 Por que ocurren los defectos? Habilidades Conocimiento, i Practicas, Presión, Mal Mldía, etc Lenguajes Defectuosos, Mal diseñados, incompletos Mitos

17 Como toda creación humana, el software no es mágico, tampoco debe ser misterioso. Pero si es complejo y extremadamente t poderoso Los computadores tienen virus Falso, los sistemas operativos tienen virus Nosotros no tenemos problemas de seguridad Tenemos Firewalls La Seguridad del Software es un problema de otro Bala de Plata La Seguridad es muy cara! El código de terceros es seguro

sistemas operativos tienen virus Nosotros no tenemos problemas de seguridad Tenemos Firewalls La

20 Outsourcing Partners Internal Projects Project 1 Project 2 Third Party Software Vendors Open Source Third Party Software Vendors

21 You break it, you bought it Individuals working on Linux Happy to fix if it s my code OEM Android Linux Companies

22 Programhangs ResourceLeaks Memory corruptions Insecure data handling Memoryleaks Out of boundsaccess Infinite loop Integeroverflow Resourceleak in object Incomplete delete Microsoft COM BSTR memoryleak Doublelockormissingunlock Negativeloopbound Uninitialized variables Threaddeadlock Missingreturnstatement Uninitializedpointer/scalar/array sleep() while holding read/write a lock Uninitialized data member in classorstructure Nullpointerdifferences ConcurrencyIssues Dereferenceafter a null check Deadlocks Raceconditions Blockingcallmisuse Dereference a nullreturnvalue Dereferencebefore a null check Integerhandlingissues Codemaintainabilityissues Improper use ofnegativevalue Unintendedsignextension Multiplereturnstatements Improper Unusedpointervalue Use ofapis Insecurechroot Usinginvaliditerator printf() argumentmismatch Performance inefficiencies Largestack use Stringlengthmiscalculations Copyingtodestinationbufferstoosmall Overflowedpointerwrite Negative array indexwrite Allocationsize error Loopbound by untrustedsource Write/read array/pointerwith untrustedvalue Memory illegalaccess Formatstringwithuntrustedsourc Incorrectdeleteoperator e Overflowedpointerread Out of boundsread Returningpointerto local variable Negative array indexread Use/readpointerafter free Security best practicesviolations i i Possible buffer overflow Control Copyinto flowissues a fixedsize buffer Logicallydeadcode Callingriskyfunction i i Missingbreak in switch Structurallydeadcode Use ofinsecuretemporary file Error Time handlingissues of check differentthan time Uncheckedreturnvalue of use Uncaughtexception Invalid use ofnegative variables Userpointerdereference

23 Base Técnica/Científica Todas las anteriores? Software Certification/Assurance Soluciones Revisión de Código No escala HackingEtico/PenTest Caja Negra Métodos Formales Caro y Lento Historia! SMT Análisis Estático Soundness &Completeness Por que no?

24 Análisis Estático Lo Bueno Lo Malo Lo Feo

25 Análisis Estático en la Practica Experiencia 125ProyectosOpen Source 27 Clientes (NDA) 57 millones de líneas de código Casos Atendidos SeverosProblemas de Performance Victimas de Hackers Caídas de Sistemas

26 Caso: Cliente Hackeado (Porellos mismos) Consultora Especializada en Seguridad reporto las siguientes Vulnerabilidades: Acceso No Autorizado Ejecución Arbitraria Abi i de Código Denegación de Servicio

27 Acceso No Autorizado Ejecución Arbitraria de Código Denegación egac de Servicio MemoryRead Out ofbounds MemoryWrite Out ofbounds ResourceLeaks ProgramCrash ProgramHang Overrunsof Arraysand Iterators User in Control of FormatString Pointer Problems Memory Management Problems Incorrect Arithmetic Expressions Use of Unitialized Variables

28 Áreas de Aplicación Detección Temprana de Defectos Detección de Fraudes y Auditoria de Código Descubrimiento de Reglas de Negocio Transformación de Lenguajes/Procesos Medir Impacto en cambios Control lde Políticas/Regulaciones l i Legales Análisis de Arquitectura Ingeniería Reversa Violaciones de Derechos de Autor

29 Demostración: Como funciona el Análisis Estático DNA Path Analysis SAT Solvers Prune False Paths Resultados Análisis i Proyectos Open Source

30 Solución? Secure& Lean Software Development No es fabricar software como Toyota lo hace Ya sabemos que no es perfecto Fabricar Software en base a principios No seguir reglas y estándares a ciegas» Por que mi Jefe lo dice o algún estándar lo dice Preocupación por lo importante Personas Agregar Valor

31 Muchas Gracias Juan Carlos Herrera Marchetti sec.com sec.com

Documentos relacionados

Seguridad & Hacking Actualización: Octubre 2013

Seguridad & Hacking Actualización: Octubre 2013 Introducción El objetivo principal es compartir información. En un inicio, era seguro. Sin embargo, los accesos remotos e Internet han cambiado esto. Los