Menos Buffer Overflows, más SQL Injections

  • Published on
    03-Jul-2015

  • View
    894

  • Download
    0

Embed Size (px)

Transcript

  • 1. Menos buffer overflows,ms SQL injections
    Andrs Riancho Ekoparty 2010
    Desayuno de los CIOs
    http://www.bonsai-sec.com/

2. andres@bonsai-sec.com$ whoami
Fundador @ BonsaiInformation Security
Director of Web Security @ Rapid7
Programador (python!)
Open SourceEvangelist
Con conocimientos en networking, diseo y evasin de IPS
Lder del proyecto open sourcew3af
3. Muchos buffer overflows
En el pasado, servicios como IIS, Apache,Oracle, Sendmail y Bind han tenido innumerables problemas de seguridad debido a bugs de seguridad introducidos durante el proceso de desarrollo.
Los equipos de desarrollo que trabajaban en estos proyectos introducan al cdigo vulnerabilidades de corrupcin de memoria como:
Stack overflows
Heap overflows
Format strings
Off by one
Esto se deba a falta de conocimiento, desinters de las compaas y falta de inversin en seguridad.
4. Menos buffer overflows
En la actualidad hay tres factores principales que reducen los riesgos de ser vulnerables a buffer overflows:
Los equipos de desarrollo de grandes proyectos
han evolucionado e integrado la seguridad en el
desarrollo del software.
Los lenguajes de programacin de ms alto nivel evitan que el desarrollador introduzca (la mayora)de las vulnerabilidades de corrupcin de memoria.
Los sistemas operativos modernos implementan ASLR (Addressspacelayoutrandomization)y NX bit (No eXecute), funciones que reducen la probabilidad de poder ejecutar cdigoen base a una vulnerabilidad que haya llegado a un release productivo.
5. Menos buffer overflows
Recuerdan la ltima vez que sufrimos una vulnerabilidad crtica con la cual fuera posible ejecutar cdigo en IIS?
Fuente: www.exploit-db.com
6. Menos buffer overflows
Y en Apache?
Fuente: www.exploit-db.com
7. Ms SQL injections
Tanto en el pasado como en la actualidad, la gran mayora de las aplicaciones Web son desarrolladas por equipos que desconocen por completo los conceptos bsicos de seguridad en aplicaciones.
No se implementan procedimientos de QA
para verificar que el cdigo desarrollado sea
seguro.
Instituciones de todos los tamaos encomiendan el desarrollo de aplicaciones transaccionales a garage software factories y confan su seguridad en ellos.
8. Ms SQL injections
Una vez detectada una vulnerabilidad en una aplicacin Web, la explotacin es trivial en la mayora de los casos.
Los frameworks de desarrollo de aplicaciones Web han mejorado su seguridad, pero todava se encuentran lejos de ser seguros por defecto.
Las empresas recin ahora comienzan a tomar conciencia de los riesgos. En cuanto a seguridad en aplicaciones Web, estamos como en los 90 comparado con proyectos como IIS y Apache.
9. Ms SQL injections
La minora de las empresas adopta soluciones de seguridad antes de que ocurra un incidente grave, aunque hay numerosas soluciones disponibles en el mercado.
Consultora:
Participacin de un experto de seguridad en aplicaciones en las reuniones de diseo del equipo de desarrollo
Web Application Penetration Tests
CodeReview
Capacitacin a desarrolladores y testers
Seguridad en el ciclo de vida del software
10. Ms SQL injections
Las silverbullets ofrecidos por nuestro proveedor preferido de software y hardware:
Web Application Security Scanners
StaticCodeAnalyzers
Web Application Firewalls
En manos experimentadas, son de gran ayuda para prevenir las intrusiones de atacantes con conocimientos medios y hasta quizs altos.
Insuficientes en su totalidad para reducir el riesgo de vulnerabilidades en la lgica del negocio asociada a la aplicacin.
11. Conclusin: Atacando al eslabn ms dbil
12. Preguntas?
13. Preguntas sugeridas
Qu tips de seguridad se deben tener en cuenta a la hora de desarrollar una aplicacin web?
Cuantasempresasnacionalesconocesquetengan un plan definidoparadesarrollaraplicaciones Web queincluyaseguridad?
En tuexperiencia, comocalificaras la seguridad de lasaplicaciones Web de Argentina con respecto a la de otrospaises?
14. Gracias por su atencin!Slides en:http://www.bonsai-sec.com/blog/