Seguridad en el ciclo de vida del desarrollo de software
|
|
- José Ramón Belmonte Vargas
- hace 2 años
- Vistas:
Transcripción
1 Seguridad en el ciclo de vida del desarrollo de software Lic. Pablo Milano 12 de Septiembre de 2007 Buenos Aires - Argentina
2 Introducción Introducción n a la seguridad en el SDLC Actualmente la mayoría de los procesos de desarrollo no incluyen seguridad, o bien la incluyen al final (etapa de testing) El costo de solucionar las vulnerabilidades es mayor cuanto más tarde se detectan las mismas (igual que los bugs) Costo Analisis Diseño Codificación Testing Deployment Tiempo 2
3 Introducción Grandes mitos y excusas flacas La seguridad de la aplicación es responsabilidad del programador. Nadie sabe cómo funciona, por ende, no la van a atacar. Si no se encontraron vulnerabilidades hasta ahora A nadie le interesaría atacar nuestra aplicación. La aplicación es segura porque corre detrás de un firewall. La aplicación es segura porque usa encripción. Si no corre como Administrator / root, no funciona. Si, ese feature (que es inseguro) viene habilitado por default, pero el administrador lo puede deshabilitar. No hay manera de explotarla. No hay tiempo para incluir seguridad. 3
4 Introducción Tendencia actual Participación de Seguridad Informática desde el comienzo de todos los proyectos de desarrollo. Incorporar seguridad a lo largo de todas las etapas del ciclo de vida del desarrollo de software (SDLC). Análisis Diseño Codificación Testing Deployment 4
5 Seguridad en el análisis de requerimientos Seguridad en el análisis de requerimientos Durante el análisis de requerimientos, se pueden identificar diversas características que derivarán en los requerimientos de seguridad del software. Por ejemplo: Arquitectura de la aplicación Cliente/servidor o Desktop? Plataforma donde correrá la aplicación PC / Palm / Teléfono celular Tipos de datos que se almacenan o transfieren Confidenciales / públicos Requerimiento de compliance con normativas y marcos regulatorios SOX, PCI-DSS, A
6 Seguridad en el análisis de requerimientos Tipos de registro que el sistema debe generar Acceso a recursos, uso de privilegios, etc. Perfiles de usuario necesarios para la aplicación Administrador, revisor, editor, usuario básico, etc. Tipos de acceso a los datos por parte de cada perfil Lectura, escritura, modificación, agregado, borrado, etc. Acciones sobre el sistema que puede hacer cada perfil Cambiar la configuración del sistema Arrancar o detener servicios Modos de autenticación Passwords, Tokens, Biométricos 1 factor, 2 factores, etc 6
7 Seguridad en el diseño Seguridad en el diseño Muchas de las vulnerabilidades encontradas en aplicaciones tuvieron su causa en errores de diseño. Ej: Aplicación Home banking (WEB) Incluía el número de cuenta en el request de transferencias No validaba que la cuenta origen perteneciera al usuario logueado Vulnerabilidad: Transferencias desde cuentas ajenas Aplicación de Adm y Finanzas (Consola Unix) Tomaba el usuario de una variable de entorno Permitía que el usuario escapara a un shell Vulnerabilidad: Se puede establecer un usuario arbitrario 7
8 Seguridad en el diseño Buenas prácticas para el diseño o de una aplicación n segura Reducción de Superficie de ataque Criterio del menor privilegio Fallar de manera segura Criterio de defensa en profundidad Diseño seguro de mensajes de error Diseño seguro de autenticación Separación de privilegios Interacción amigable con Firewalls e IDS's. Administración segura información Sensible Diseño de Auditoría y Logging Análisis de riesgo 8
9 Seguridad en el diseño Análisis de riesgo Threat Modeling Técnica formal, estructurada y repetible que permite determinar y ponderar los riesgos y amenazas a los que estará expuesta nuestra aplicación. Consta de las siguientes etapas: 1) Conformar un grupo de análisis de riesgos 2) Descomponer la aplicación e identificar componentes clave. 3) Determinar las amenazas a cada componente de la aplicación. 4) Asignar un valor a cada amenaza. 5) Decidir cómo responder a las amenazas. 6) Identificar las técnicas y tecnologías necesarias para mitigar los riesgos identificados. 9
10 Seguridad en el diseño Método STRIDE Ayuda a identificar amenazas en los componentes de un sistema Su nombre es un acrónimo de: Spoofing Identity: Suplantar la identidad de otro usuario o servicio. Tampering with Data: Modificar maliciosamente datos almacenados. Repudiation: Imposibilidad de identificar el autor de una acción. Information Disclosure: Divulgar información a usuarios no autorizados. Denial of Service: Provocar que un servicio deje de funcionar. Elevation of privilege: Conseguir privilegios mayores a los asignados 10
11 Seguridad en el diseño Árboles de ataque Amenaza #1 Un usuario accede en nombre de otro 1.1 El usuario tenía una contraseña débil 1.2 El atacante capturó datos de autenticación de la red 1.3 El sistema permitió un ataque de diccionario / fuerza bruta 1.4 El sistema de validación / autenticación es defectuoso 1.5 El sistema permite armar peticiones con IDs de otros usuarios La comunicación no estaba encriptada El mecanismo de autenticación es vulnerable a replay de paquetes El sistema de validación no falla de manera segura El sistema de validación es vulnerable a ataques de SQL Injection 11
12 Seguridad en el diseño Método DREAD Ayuda a ponderar las amenazas identificadas. Es un acrónimo de los siguientes 5 ítems: Damage Potencial: Cuán importante es el daño de esta amenaza? Reproducibility: Cuán reproducible es la vulnerabilidad? Exploitability: Cuán fácil es de explotar? Affected Users: Cuáles y cuántos usuarios se verían afectados? Discoverability: Cuán fácil de descubrir es la vulnerabilidad? 12
13 Seguridad en la codificación Seguridad en la codificación La falta de controles adecuados en la codificación, muchas veces deriva en vulnerabilidades que pueden comprometer a la aplicación o a los datos de la misma Los tipos de vulnerabilidades más habituales son: Stack buffer overflows Heap buffer overflows SQL Injections Cross Site Scripting (XSS) Directory Traversal Authentication Bypass Information Disclosure Escalamiento de privilegios Manejo inseguro de sesiones Denegación de servicio 13
14 Seguridad en la codificación Buenas prácticas para una codificación n segura Validar siempre los datos de entrada antes de procesarlos Nunca confiar en que los datos recibidos sean correctos. Realizar validación de datos en todas las capas Usar siempre criterio de White List en las validaciones Controlar tamaño y tipo de datos Sanitizar los valores de entrada y salida Eliminar o escapear caracteres especiales Transformar los datos de entrada a un encoding establecido Reemplazar sentencias SQL dinámicas por Stored Procedures Evitar generar código con valores ingresados por el usuario No mezclar datos con código Capturar errores de capas inferiores y no mostrarlos al usuario 14
15 Testing de seguridad Testing funcional Vs. Testing de seguridad Funcionalidad diseñada Funcionalidad real Bugs que se encuentran mediante Testing de seguridad Bugs que se encuentran mediante Testing funcional 15
16 Testing de seguridad Técnicas de testing de seguridad Testing de seguridad funcional Testing Funcional (clásico) aplicado a las funcionalidades de seguridad de una aplicación. Ej: Req. de autenticación Req. de complejidad de contraseñas Bloqueo automático de cuentas Funcionalidad de captchas Restricciones de acceso según diseño Mecanismos de registro y logging Mensajes de error especificados Testing de seguridad basado en Riesgo Técnica que se desprende del Threat Modelling Se identifican todas las interfaces de la aplicación Se generan casos de test sobre cada interfaz basado en STRIDE 16
17 Testing de seguridad Técnicas de testing de seguridad Testing con un cliente / server falso Consiste en diseñar un cliente o server Ad Hoc que permita: Enviar peticiones /respuestas incorrectas o inválidas. Enviar peticiones/ respuestas fuera de orden. Insertar delays arbitrarios. Comportarse de manera diferente al cliente o servidor real. Test de stress Consiste en llevar la carga o funcionalidad de la aplicación al límite Generar una carga alta de peticiones/transacciones a la aplicación. Mantener esta carga durante tiempos prolongados. Simular tráfico en ráfagas. 17
18 Testing de seguridad Técnicas de testing de seguridad Test de mutación de datos Se testea la aplicación ingresando en sus interfaces datos mutados Diferente signo Diferente tipo Diferente longitud Fuera de rango Caracteres especiales Código (ej: javascripts) Valores nulos Valores aleatorios Revisión de código Permite encontrar vulnerabilidades que son muy difíciles de detectar con otros métodos de testing de seguridad (ej: BackDoors) Enfoque tradicional: Grupo de revisión Enfoque rápido: Revision por pares 18
19 Seguridad en la Implementación Seguridad en la implementación n (deployment) Si no se implementa la aplicación de forma segura, se pueden echar por tierra los esfuerzos de las etapas anteriores. Hardening de software de base Servicios innecesarios Usuarios y contraseñas default Configuración de intérpretes Proceso de implementación Separación de ambientes Administración de implementación y mantenimiento Releases y Patches Firma de código 19
20 Conclusiones Integrando seguridad a lo largo de todas las etapas del SLDC se ahorra tiempo y dinero. La tendencia actual es que SI participe desde el principio de los proyectos de desarrollo. La mayoría de las vulnerabilidades no se deben a errores de codificación, sino a defectos de diseño. Existen buenas prácticas y técnicas específicas para insertar seguridad en cada etapa del SDLC. 20
21 Preguntas? 21
Cómo desarrollar aplicaciones más seguras?
Cómo desarrollar aplicaciones más seguras? Presentada por: Julio César Ardita CTO CYBSEC Marcelo Stock Jefe de Seguridad Informática Banco Columbia Aclaración: Todos los derechos reservados. No está permitida
Haga clic para cambiar el estilo de título. Curso de Seguridad de la Información
Haga clic para cambiar el estilo de título Haga clic para modificar el estilo de texto del patrón Segundo nivel Tercer nivel Cuarto nivel Quinto nivel Curso de Seguridad de la Información Agenda Conceptos
Haga clic para cambiar el estilo de título. Curso de Seguridad de la Información. Haga clic para cambiar el estilo de título
Haga clic para cambiar el estilo de título Haga clic para modificar el estilo de texto del patrón Segundo nivel Tercer nivel Cuarto nivel Quinto nivel Curso de Seguridad de la Información Agenda Conceptos
Seguridad en.net. Daniel Seara
eguridad en.et Daniel eara Proceso de desarrollo Definir que hace la aplicación y como se usa Los usuarios ven páginas con catálogos Realizan búsquedas del mismo Agregan ítems al carrito Cierran la operación
Modelado de Amenazas Una Introducción
OWASP Latam Tour The OWASP Foundation Buenos Aires, Argentina 2012 http://www.owasp.org Modelado de Amenazas Una Introducción Hernán M. Racciatti, CISSP, CSSLP, CEH SIClabs hracciatti@siclabs.com @my4ng3l
Modelamiento de Amenazas en el Desarrollo de Software
Modelamiento de Amenazas en el Desarrollo de Software Davor A. Pavisic Jalasoft CTO Agenda La importancia Definición Beneficios Metodología Conclusiones 2 Porque Modelar Amenazas? La seguridad de aplicaciones
Seguridad en Aplicaciones Web
Seguridad en Aplicaciones Web Leandro Meiners lmeiners@cybsec cybsec.comcom Septiembre de 2005 Buenos Aires - ARGENTINA Temario Temario Introducción al Protocolo HTTP: Arquitectura, carácterísticas, autenticación,
Servicios de Seguridad de la Información
Servicios de Seguridad de la Información Las siguientes actuaciones son medidas dirigidas a garantizar la Confidencialidad, Privacidad y Disponibilidad de los Servicios de la Información y que podemos
Seguridad en aplicaciones y base de datos
Universidad Nacional de Asunción Facultad Politécnica Maestría en TIC Énfasis en Auditoría y Seguridad Informática Seguridad en aplicaciones y base de datos Cristian Cappo (ccappo@pol.una.py) e-mail alternativo:
Haga clic para modificar el estilo de título del patrón Haga clic para modificar el estilo de texto del patrón
texto del DESAFÍOS PARA ALCANZAR EL CUMPLIMIENTO: GUÍA DE IMPLEMENTACIÓN, INTEGRACIÓN DE LA SEGURIDAD EN EL CICLO DE VIDA DEL SOFTWARE, LABORATORIO PCI DSS COMPLIANT. FERMÍN GARDE FERNÁNDEZ RESPONSABLE
Circular de Tecnología Pautas de seguridad para el desarrollo de aplicaciones Web
ASIT 20070501 CT Pautas de seguridad para aplicaciones web v1 2007-05-16 Documento de Circular de Tecnología Pautas de seguridad para el desarrollo de aplicaciones Web Versión 01 ARCHIVO: ASIT 20070501
SEGURIDAD EN APLICACIONES WEB
SEGURIDAD EN APLICACIONES WEB Autor: Carlos Alberto Amaya Tarazona Ingeniero de Sistemas Magister en Software Libre y Administración de Redes y sistemas Operativos 1 CONTENIDO Pág UNIDAD 2: ANÁLISIS Y
Curso: (62612) Diseño de aplicaciones seguras
Curso: (62612) Diseño de aplicaciones seguras Fernando Tricas García Departamento de Informática e Ingeniería de Sistemas Universidad de Zaragoza http://webdiis.unizar.es/~ftricas/ http://moodle.unizar.es/
Infraestructura Tecnológica. Sesión 5: Arquitectura cliente-servidor
Infraestructura Tecnológica Sesión 5: Arquitectura cliente-servidor Contextualización Dentro de los sistemas de comunicación que funcionan por medio de Internet podemos contemplar la arquitectura cliente-servidor.
Penetration Test Metodologías & Usos
Penetration Test Metodologías & Usos Lic. Luis Ramírez lramirez@cybsec.com 18 de Noviembre de 2009 Asunción, n, Paraguay Agenda Introducción Seguridad Informática en los Sistemas Objetivos, Tipos y Alcances
Ataques XSS en Aplicaciones Web
Ataques XSS en Aplicaciones Web Education Project Antonio Rodríguez Romero Consultor de Seguridad Grupo isoluciones antonio.rodriguez@isoluciones.es Copyright 2007 The Foundation Permission is granted
CONCLUSIONES 155 A través de cada uno de los capítulos del presente documento se han enumerado una serie herramientas de seguridad que forman parte del sistema de defensa de una red y que, controlan su
Tecnologías Aplicadas al Dominio "Desarrollo, Adquisición y Mantenimiento de los Sistemas de Información"
Tecnologías Aplicadas al Dominio "Desarrollo, Adquisición y Mantenimiento de los Sistemas de Información" No nos va a pasar nosotros Riesgo en Aplicaciones y Sistemas de Información Malas prácticas de
Inseguridad de los sistemas de autenticación en aplicaciones web
Barcelona, 18 de Marzo Inseguridad de los sistemas de autenticación Vicente Aguilera Díaz vaguilera@isecauditors.com Contenido 0. Introducción al sistema de autenticación 2. Medidas de protección 3. Referencias
CONDICIONES TÉCNICAS PARA SERVICIO ILUMINACIÓN ZONAS WIFI PARA CLIENTES CORPORATIVOS. Vicepresidencia de Infraestructura
CONDICIONES TÉCNICAS PARA SERVICIO ILUMINACIÓN ZONAS WIFI PARA CLIENTES CORPORATIVOS Vicepresidencia de Infraestructura Gerencia Planeación Infraestructura y Servicios TABLA DE CONTENIDO 1. OBJETIVO...
POLÍTICA DE SEGURIDAD DE CORREO ELECTRÓNICO P-01 NOTA DE CONFIDENCIALIDAD DE ACUERDO A CLASIFICACIÓN
POLÍTICA DE SEGURIDAD DE CORREO ELECTRÓNICO P-01 2011 NOTA DE CONFIDENCIALIDAD DE ACUERDO A CLASIFICACIÓN Este documento es de propiedad exclusiva de MINSAL y su uso debe estar ceñido a lo dispuesto en
OWASP: Un punto de vista. aplicaciones web seguras
OWASP: Un punto de vista pragmático para el desarrollo de aplicaciones web seguras Armando Carvajal (armando.carvajal@globalteksecurity.com) Gerente Arquitecto Soluciones Globaltek Security Master en seguridad
Módulo Nº 7. Aspectos de Seguridad en Redes de Área Extendida
Módulo Nº 7 Aspectos de Seguridad en Redes de Área Extendida Bibliografía W. Stalling, Fundamentos de seguridad en redes, 2º edición, Prentice Hall. A. V. Herta, Seguridad en Unix y Redes, Versión 1.2
Hacking Ético Web. I Jornadas Tecnológicas CEEPS 27-03-2012 Carlos García García i52gagac@uco.es ciyinet@gmail.com. @ciyinet
Hacking Ético Web I Jornadas Tecnológicas CEEPS 27-03-2012 Carlos García García i52gagac@uco.es ciyinet@gmail.com @ciyinet Índice Introducción OWASP OWASP Top 10 (2010) Demostración ataques Inyección SQL
Técnicas y Procedimientos para la realización de Test de Intrusión
Extrelan 2008 Cáceres. Marzo de 2008 Técnicas y Procedimientos para la realización de Test de Intrusión SG6 Soluciones Globales en Seguridad de la Información http://www.sg6.es INDICE DE CONTENIDOS Primera
Capítulo 4 Pruebas e implementación de la aplicación CAPÍTULO 4 PRUEBAS E IMPLEMENTACIÓN DE LA APLICACIÓN
CAPÍTULO 4 PRUEBAS E IMPLEMENTACIÓN DE LA APLICACIÓN CONCEPTOS DE PRUEBAS DE APLICACIÓN El departamento de Testing se encarga de diseñar, planear y aplicar el rol de pruebas a los sistemas que el PROVEEDOR
INTRODUCCIÓN A LA SEGURIDAD EN SISTEMAS Y WEBS
INTRODUCCIÓN A LA SEGURIDAD EN SISTEMAS Y WEBS Marco A. Lozano Merino Mayo 2012 Índice 1.Seguridad a nivel de usuario 1.Amenazas y protección 2.La realidad de la seguridad: hackers 3.Seguridad en redes
SEGURIDAD ataques riesgos tipos de amenazas
SEGURIDAD La seguridad en sistemas es un área de las Ciencias de la Computación que se ocupa de diseñar las normas, procedimientos, métodos y técnicas destinados a conseguir un sistema de información seguro
Implementación de Sistemas de Información Seguros
Implementación de Sistemas de Información Seguros Cristian Mora Aguilar, CISSP, CISM, MCSE+Security crismora@microsoft.com Security Consultant Microsoft Security Center of Excellence, SCoE Agenda Conceptos
Fuzzing y seguridad. José Miguel Esparza Muñoz Security Researcher S21sec labs. 10 de agosto de 2007
Fuzzing y seguridad José Miguel Esparza Muñoz Security Researcher S21sec labs 10 de agosto de 2007 Resumen Con este artículo se pretende dar las nociones básicas para el acercamiento del lector a una de
Hacking ético y Seguridad en Red
TFC: Administración de Redes y Sistemas Operativos Hacking ético y Seguridad en Red Alumno: Cristiano Dias Consultor: José Manuel Castillo Pedrosa 1 Índice Introducción... 3 Perfil del Hacker ético...
3-ANÁLISIS DE VULNERABILIDADES
3-ANÁLISIS DE VULNERABILIDADES Es la tercera fase del ciclo de auditoria del tipo Hacking Ético, y tiene como objetivo el identificar si un sistema es débil o susceptible de ser afectado o atacado de alguna
Seguridad en Sitios Web de Alto Tráfico. Ing. Enrique Hurtarte Juárez
Seguridad en Sitios Web de Alto Tráfico Ing. Enrique Hurtarte Juárez Guatemala, 24 de Julio de 2014 XumaK Quienes somos XumaK es una empresa que fue fundada en 2003 por Marcos Andres como una de las primeras
Segurinfo NOA 2011. Seguridad en el desarrollo de aplicaciones Web
Segurinfo NOA 2011 Seguridad en el desarrollo de aplicaciones Web Hernán Santiso Gerente de Seguridad de la Información Claro Argentina, Uruguay y Paraguay hsantiso@claro.com.ar Introducción El problema
Seguridad en Redes. Módulo 1 Control de acceso. Carlos A. Rojas Kramer UCC
Seguridad en Redes Módulo 1 Control de acceso Carlos A. Rojas Kramer UCC Agenda Identificación y autenticación. Autorización, derechos y permisos. Modelos de control de acceso. Técnicas y dispositivos
Una ACL es una lista secuencial de sentencias de permiso o denegación que se aplican a direcciones IP o protocolos de capa superior.
Listas de control de acceso o ACL. Listas de control de acceso o ACL. Una ACL es una lista secuencial de sentencias de permiso o denegación que se aplican a direcciones IP o protocolos de capa superior.
Agenda. I. Presentación II.Antecedentes III.Distintos ámbitos IV.A jugar
Agenda I. Presentación II.Antecedentes III.Distintos ámbitos IV.A jugar Juan Antonio Calles (@jantoniocalles) Quiénes somos? Jefe de Proyectos de Seguridad en everis www.flu-project.com elblogdecalles.blogspot.com
Sistemas de Computación Archivos de Red. 2º Semestre, 2008 José Miguel Rubio L. jose.rubio.l@ucv.cl http://www.inf.ucv.cl/~jrubio
Sistemas de Computación Archivos de Red 2º Semestre, 2008 José Miguel Rubio L. jose.rubio.l@ucv.cl http://www.inf.ucv.cl/~jrubio NFS Características: Provee un acceso transparente a un Sistema de Archivos
Privacy by design (PbD). Necesidades de desarrollo seguro. Daniel de los Reyes dadecal@s2grupo.es Director de desarrollo. S2 Grupo 12 de Mayo, 2011
Privacy by design (PbD). Necesidades de desarrollo seguro. Daniel de los Reyes dadecal@s2grupo.es Director de desarrollo. S2 Grupo 12 de Mayo, 2011 Antecedentes Nueva Directiva comunitaria sobre Protección
Introducción: Seguridad Activa: Medidas de Prevención. Objetivo: Evitar daños en sistemas informáticos antes que ocurran. Mecanismos de protección
Introducción: Seguridad Activa: Medidas de Prevención. Objetivo: Evitar daños en sistemas informáticos antes que ocurran. Mecanismos de protección contra intrusos: Protección contra personas y/o programas.
Gestión de la Seguridad Informática
Documento de Gestión de la Seguridad Informática Versión 01 ARCHIVO: ANEXO6_GESTION DE LA SEGURIDAD INFORMATICA Nº. PÁG: 1 / 6 CREADO: 11/11/a TABLA DE CONTENIDO 1. GESTIÓN DE SEGURIDAD INFORMÁTICA...
SISTEMAS IDEALES SISTIDE, S.A. SISTEMA GESTION DE USUARIOS
SISTEMAS IDEALES SISTIDE, S.A. SISTEMA GESTION DE USUARIOS PÁGINA 2 SISTEMAS IDEALES SISTIDE, S.A. SISTEMA DE GESTIÓN DE USUARIOS (SGU) Hoy en día los centros de tecnología de información tienen a su cargo
Gestión de Seguridad en canales electrónicos. Ing. Jorge O Higgins, CISSP
Gestión de Seguridad en canales electrónicos Ing. Jorge O Higgins, CISSP Contenido 1. Objetivos de seguridad en el ambiente financiero 2. Definición de requerimientos de seguridad 3. Seguridad como proceso
Guía de doble autenticación
Guía de doble autenticación Índice Guía doble autenticación 1. Introducción a la Doble Autenticación: Qué es? 4 Ataques a las contraseñas 6 Fuerza bruta 6 Malware 6 Phishing 6 Ataques a servidores 6 2.
TUTORIAL PARA CREAR UN SERVIDOR FTP
TUTORIAL PARA CREAR UN SERVIDOR FTP A continuación ustedes podrán observar y luego implementar el informe que elaboré a fin de que TODOS puedan aprender a montar y mantener su propio Servidor FTP. Comenzaremos
Seguridad en Sistemas Módulo 1 Parte 1: Conceptos Generales. Carlos A. Rojas Kramer UCC
Seguridad en Sistemas Módulo 1 Parte 1: Conceptos Generales Carlos A. Rojas Kramer UCC Amenazas y ataques Amenaza es una violación potencial de la seguridad de un sistema. Ataque es un intento (exitoso
Ciclo de vida de desarrollo de Software Seguro
Ciclo de vida de desarrollo de Software Seguro Facultad Politécnica UNA Maestría en TICs 2015 Énfasis Auditoría y Seguridad de la Información Seguridad en aplicaciones y base de datos Cristian Cappo (ccappo@pol.una.py)
Sistemas Ubicuos 6. Seguridad y privacidad
Sistemas Ubicuos 6. Seguridad y privacidad 1 Plataformas y arquitectura middleware Metodologías Herramientas y plataformas Interfaces de usuario Servicios Aplicaciones inteligentes Infraestructuras software
S E G U R I D A D E N A P L I C A C I O N E S W E B
H E R R A M I E N T A S A V A N Z A DA S D E DE S A R R O L L O D E S O F T W A R E 2 0 0 7-2 0 0 8 S E G U R I D A D E N A P L I C A C I O N E S W E B X S S Y S Q L I N J E C T I O N G R U P O 2 4 S A
Requisitos de control de proveedores externos
Requisitos de control de proveedores externos Ciberseguridad Para proveedores clasificados como de bajo riesgo de ciberdelito 1. Protección de activos y configuración de sistemas Los Datos de Barclays,
Auditorías de Seguridad: revisión como método de prevención. Vicente Aguilera Díaz Internet Security Auditors, S.L.
Auditorías de Seguridad: revisión como método de prevención Vicente Aguilera Díaz Internet Security Auditors, S.L. CONTENIDO 1. Protección de la información 2. Auditorías de seguridad 3. Implantación de
Julio C. Ardita, CISM jardita@cybsec.com. 9 de Abril de 2014
Experiencias i de Seguridad d en SAP Julio C. Ardita, CISM jardita@cybsec.com 9 de Abril de 2014 Agenda - Seguridad en la arquitectura - Seguridad en el SO y DB del entorno SAP - Seguridad a nivel técnico
Cortafuegos software y hardware. Gabriel Montañés León
Cortafuegos software y hardware Gabriel Montañés León * Firewall (Hardware): Es una aparato que se utiliza en la redes (por lo general WAN o MAN) para la protección de las mismas. Este tiene como principal
Estado de la Seguridad Informática
1 Estado de la Seguridad Informática Lic. Julio C. Ardita jardita@cybsec.com CIASFI 2004 23 de Abril de 2004 Córdoba - ARGENTINA 2 Temario - Situación en la Argentina. - Realidades - Qué pasa con la seguridad
Índice. Capítulo 1. Novedades y características... 1
Índice Capítulo 1. Novedades y características... 1 Introducción a Windows Server 2008... 1 Administración de servidor... 3 Seguridad y cumplimiento de directivas... 5 El concepto de Virtualización...
Prospecto Risk Manager
Prospecto Risk Manager Este documento describe las funciones y características básicas de la herramienta Risk Manager desarrollada por Primary S.A. El lector podrá encontrar una descripción del producto,
Lo valoras, Optimiti Network lo protege. Seguridad a otro nivel { DISPONIBILIDAD } { CONFIDENCIALIDAD } { INTEGRIDAD } Credenciales 2015
Lo valoras, Optimiti Network lo protege { CONFIDENCIALIDAD } { DISPONIBILIDAD } { INTEGRIDAD } Seguridad a otro nivel Credenciales 2015 En Optimiti nos enfocamos en Productos y Soluciones Innovadoras y
POLÍTICA DE DESARROLLO, MANTENCIÓN Y ADQUISICIÓN DE SISTEMAS DE INFORMACIÓN
PÁGINA Nº1 POLÍTICA DE DESARROLLO, MANTENCIÓN Y ADQUISICIÓN DE SISTEMAS DE INFORMACIÓN Versión 1.0 MINISTERIO DE OBRAS PÚBLICAS ELABORADO POR: Dirección General de Obras Públicas FECHA: 9/09/2012 REVISADO
POLÍTICA DE SEGURIDAD DE CORREO ELECTRÓNICO
POLÍTICA DE SEGURIDAD DE CORREO ELECTRÓNICO PSHCM_01 2 0 1 3 NOTA DE CONFIDENCIALIDAD DE ACUERDO A CLASIFICACIÓN Este documento es de propiedad exclusiva del Hospital Clínico de Magallanes y su uso debe
AGENDA. Mejorando la Seguridad en Aplicaciones Web. Introducción. La Web Promesas y Amenazas. Asegurando la Red y el Servidor de Web
Universidad ORT Uruguay Mejorando la Seguridad en Aplicaciones Web Ing. Cecilia Belletti Ing. Angel Caffa, MSc Ing. Isaac Rodríguez IntegraTICs 7 de diciembre, 2006 AGENDA Introducción La Web Promesas
Programación de código seguro
Programación de código seguro Distinción de vulnerabilidades Stack OverFlow y Heap OverFlow Comunes en lenguajes y aplicaciones de escritorio TOP 10 OWASP Muchas otras Stack OverFlow Stack OverFlow: Ejemplo
AUDITORÍAS TÉCNICAS PARA LA CERTIFICACIÓN DE LOS SISTEMAS DE RECOGIDA DE INICIATIVAS CIUDADANAS EUROPEAS
AUDITORÍAS TÉCNICAS PARA LA CERTIFICACIÓN DE LOS SISTEMAS DE RECOGIDA DE INICIATIVAS CIUDADANAS EUROPEAS Las auditorias técnicas según el Reglamento 211/2011 de la Unión Europea y según el Reglamento de
SOHO Routers: from Internet of Things to Insecurity of Things Álvaro Folgado José A. Rodríguez Iván Sanz
SOHO Routers: from Internet of Things to Insecurity of Things Álvaro Folgado José A. Rodríguez Iván Sanz Índice Introducción Problemática y estado de la seguridad Demostraciones Resultados y conclusiones
Servicio de Protección Total Web
Servicio de Protección Total Web Prevención de Fraude Inspecciones de Procesos, Tecnología, Personas y Lugares, Ethical hacking, Concientización y Capacitación en Seguridad Detección de Fraude Ambientes
Seguridad en Informática Aspectos Duros y Blandos. Dr. José Fernández G.
Seguridad en Informática Aspectos Duros y Blandos Dr. José Fernández G. Octubre 2013 Agenda Definición de Seguridad Informática. Objetivos del Área de Seguridad Informática. Amenazas y sus distintos tipos.
Aranda 360 ENDPOINT SECURITY
Tabla de contenido Product Architecture Product Architecture Introducción Ambiente Redesdetrabajo Configuraciones Políticas Servidores Componentes Agente Servidor Base de datos Consola Comunicación Consola
Ingeniero Técnico en Informática - UCA Máster en Ingeniería del Software - US Máster en Seguridad de las TIC - US
Sobre mi Formación Ingeniero Técnico en Informática - UCA Máster en Ingeniería del Software - US Máster en Seguridad de las TIC - US Experiencia Aficiones 4+ años como desarrollador web, más de 2 en Drupal
Firewalls, IPtables y Netfilter
Firewalls, IPtables y Netfilter Dastugue, Juan Cristobal, Leandro Temario Políticas de diseño de un Firewall Definición Qué es un Firewall? Es un sistema o conjunto de sistemas, ubicado entre dos redes.
- Telnet, Rlogin, SSH - X-Terminal - Escritorio remoto VNC - Terminal Server - Acceso remoto mediante interfaz web
- Telnet, Rlogin, SSH - X-Terminal - Escritorio remoto VNC - Terminal Server - Acceso remoto mediante interfaz web Los Servicios de Escritorio Remoto (del inglés Remote Desktop Services), antiguamente
Capítulo 2.- Vulnerabilidades en aplicaciones web.
Capítulo 2.- Vulnerabilidades en aplicaciones web. En este capítulo se explican algunas vulnerabilidades en aplicaciones web que pueden ser explotadas por software o por personas malintencionadas y como
Semana 3: Con Con r t o r l de Acceso
Semana 3: Control de Acceso Intrusiones Aprendizajes esperados Contenidos: Verificación de la seguridad Detección de Intrusiones Métodos de ataque Qué es una INTRUSIÓN? Vamos a dfii definir INTRUSIÓN como
Seguridad de la información: ARP Spoofing
ELO322 Redes de Computadores I Seguridad de la información: ARP Spoofing Nombres: Mauricio Muñoz Stephanie Salazar Paola Yang 1 Resumen El protocolo encargado de enviar cada paquete a su destino es el
Desarrollo seguro en Drupal. Ezequiel Vázquez De la calle
Sobre mi Estudios Ingeniero Técnico en Informática - UCA Máster en Ingeniería del Software - US Experto en Seguridad de las TIC - US Experiencia Aficiones 3+ años como desarrollador web, casi 2 en Drupal
PROGRAMA DEL CURSO. SEGURIDAD EN EQUIPOS INFORMATICOS MF0486_3 90 horas MEDIO-AVANZADO DURACION:
PROGRAMA DEL CURSO ACCION: DURACION: NIVEL: SEGURIDAD EN EQUIPOS INFORMATICOS MF0486_3 90 horas MEDIO-AVANZADO OBJETIVOS: CE1.1 Identificar la estructura de un plan de implantación, explicando los contenidos
Análisis y Modelado de Amenazas
Una revisión detallada de las metodologías y herramientas emergentes Versión: Fecha de creación: 1.0 18 / 12 / 2006 Autor: Daniel P.F metal AT/DOT hacktimes.com Tabla de contenido Qué es el modelado de
Ataques más comunes. Virginia Armas Alejandro Do Nascimiento
Ataques más comunes Virginia Armas Alejandro Do Nascimiento 1 Introducción Los ataques a desarrollar en la exposición son: HTTP Tunneling Suplantación de contenido Local File Inclusion Remote File Inclusion
UD 4: Instalación y configuración de cortafuegos
UD 4: Instalación y configuración de cortafuegos Cortafuegos software y hardware Luis Alfonso Sánchez Brazales 1 Cortafuegos software integrados en los sistemas operativos Un firewall gratuito es un Software
Políticas para Asistencia Remota a Usuarios
Políticas para Asistencia Remota a I. OBJETIVO La presente política tiene como objetivo establecer las pautas, condiciones, responsabilidades y niveles de seguridad correspondientes en el uso de la herramienta
La gestión de la seguridad informática. La gestión de la seguridad informática. Contenido. Consideraciones 22/03/2013
La gestión de la seguridad informática 1 Contenido La gestión de la seguridad información. 2 Hacking ético 3 Hacking Víctor Cuchillac La gestión de la seguridad informática Consideraciones Por dónde empezamos?
VÍDEO intypedia007es LECCIÓN 7: SEGURIDAD EN APLICACIONES WEB. INTRODUCCIÓN A LAS TÉCNICAS DE INYECCIÓN SQL. AUTOR: Chema Alonso
VÍDEO intypedia007es LECCIÓN 7: SEGURIDAD EN APLICACIONES WEB. INTRODUCCIÓN A LAS TÉCNICAS DE INYECCIÓN SQL AUTOR: Chema Alonso Consultor de Seguridad en Informática 64. Microsoft MVP Enterprise Security
Seguridad Informática con Software Libre
1 Seguridad Informática con Software Libre Lic. Julio C. Ardita jardita@cybsec cybsec.comcom 1er Encuentro de Software Libre en el Estado 13 de Mayo de 2005 Santa Cruz - ARGENTINA 2 Temario La seguridad
Componentes de Integración entre Plataformas Información Detallada
Componentes de Integración entre Plataformas Información Detallada Active Directory Integration Integración con el Directorio Activo Active Directory es el servicio de directorio para Windows 2000 Server.
100% Laboratorios en Vivo
100% Laboratorios en Vivo Sabemos que la única forma de aprender es haciendo. Por lo mismo todos los laboratorios son con desafíos de hacking en un ambiente en vivo. Con servidores y servicios dentro de
ArCERT Jornadas de Seguridad Informática 2009
ArCERT Jornadas de Seguridad Informática 2009 La Web desde el ojo de un atacante Nahuel Grisolía ngrisolia@cybsec.com 02 de Octubre de 2009 Buenos Aires - Argentina Agenda Agenda Introducción - Intereses
Estructura de alta disponibilidad con más de un server disponible en distintos sites.
Servicio LDAP con interfaces de administración Generalidades Se describe la implementación de un servicio de autenticación LDAP usando una solución de código abierto llamada 389 Directory Server (389DS).
Router Teldat. Agente SNMP
Router Teldat Agente SNMP Doc. DM512 Rev. 8.40 Septiembre, 2000 ÍNDICE Capítulo 1 Introducción al protocolo SNMP... 1 1. Introducción...2 2. Tipos de paquetes SNMP...3 3. Autenticación...4 Capítulo 2 Configuración
Evolución de los bankers
Autor: Sebastián Bortnik, Analista de Seguridad de ESET para Latinoamérica Fecha: Lunes 04 de mayo del 2009 ESET, LLC 610 West Ash Street, Suite 1900 phone: (619) 876 5400, fax: (619) 437 7045 sales@eset.com,
Ataques específicos a servidores y clientes web y medidas preventivas. Problemas de seguridad Web
Problemas de seguridad Web Ataques específicos a servidores y clientes web y medidas preventivas. junio de 2014 Problemas de seguridad Web 1 ATAQUES Consiste en aprovechar alguna debilidad o vulnerabilidad
Técnicas del Penetration Testing
Técnicas del Penetration Testing Victor H. Montero vmontero@cybsec cybsec.comcom Septiembre de 2005 Buenos Aires - ARGENTINA Agenda - Qué es un Penetration Test? - El rol del PenTest en la Seguridad Informática.
TERCERIZACIÓN DE SERVICIOS DE TI. ANEXO 4 - Actividades y niveles de servicio definidos para Primer Nivel de Soporte en Seguridad
TERCERIZACIÓN DE SERVICIOS DE TI ANEXO 4 - Actividades y niveles de servicio definidos para Primer Nivel de Soporte en Seguridad 1. ALCANCE: El Primer Nivel de Soporte en Seguridad atenderá todas las solicitudes
Seguridad Informática
Universidad Rey Juan Carlos Grado en Ingeniería Informática Seguridad Informática Curso 2012/13 Prueba 3 - Seguridad en es Lea detenidamente las instrucciones del examen antes de comenzar: El examen consta
Cloud Email Firewall
Cloud Email Firewall Protección contra software malicioso y Antispam para el Correo Electrónico Si el correo de su empresa no es seguro entonces la información no está segura Cloud Email Firewall es una
Transacciones sin temor para el Comercio Electrónico
1 Transacciones sin temor para el Comercio Electrónico Lic. Julio C. Ardita jardita@cybsec.com 11 de Mayo del 2000 Buenos Aires - ARGENTINA 2 Transacciones sin temor para el Comercio Electrónico Temario
Primeras Jornadas de Seguridad Web OWASP DAY ARGENTINA 2010
Primeras Jornadas de Seguridad Web OWASP DAY ARGENTINA 2010 La seguridad como ventaja competitiva Web Application: Security Tips Hernán M. Racciatti hracciatti@siclabs.com SICLABS Acerca del Autor Analista
Seguretat en xarxes. Tallafocs, IDS, IPS, filtrat de continguts
Seguretat en xarxes. Tallafocs, IDS, IPS, filtrat de continguts Índice de contenido Seguretat en xarxes. Tallafocs, IDS, IPS, filtrat de continguts...1 Licencia...1 Cortafuegos...1 Sin estado...2 Con estado
Aviso N 489/14 LANZAMIENTO ACCESO DIRECTO AL MERCADO
Aviso N 489/14 LANZAMIENTO ACCESO DIRECTO AL MERCADO A partir de la fecha el MATba ha dispuesto el lanzamiento de la modalidad de Acceso Directo al Mercado (ADM), en el sistema de negociación MATba Trader,
mope PROGRAMACIÓN DE SISTEMAS INFORMÁTICOS Página 0 PASEO GENERAL MARTINEZ CAMPOS 20 28010 MADRID 91 752 79 59 www.mope.es info@mope.
DENOMINACIÓN: Código: IFCT0609 Familia profesional: Informática y Comunicaciones Área profesional: Sistemas y telemática Nivel de cualificación profesional: 3 Cualificación profesional de referencia: IFC303_3
Software de Comunicaciones. Práctica 7 - Secure Shell. SSH
Software de Comunicaciones Práctica 7 - Secure Shell. SSH Juan Díez-Yanguas Barber Software de Comunicaciones Ingeniería Informática - 5º Curso Jdyb - Mayo 2013 Juan Díez- Yanguas Barber Práctica 7 Índice
EEHC. Enhacke Ethical Hacking Certification
EEHC Enhacke Ethical Hacking Certification Curso de Certificación de Hacking Ético ENHACKE S.A.C. Año 2010 ENHACKE ETHICAL HACKING CERTIFICATION EEHC INTRODUCCION El curso EEHC provee el conocimiento necesario