Desarrollo Seguro DIPLOMATURA EN SEGURIDAD INFORMÁTICA DIPLOMATURA EN SEGURIDAD INFORMÁTICA Desarrollo seguro de aplicaciones Lic. Cristian Borghello CISSP – CCSK – MVP www.segu-info.com.ar [email protected] @seguinfo Licenciado en Sistemas UTN y Certificado en Seguridad Director de Segu-Info - Segu-Kids - ODILA Miembro de Asociaciones de Seguridad Nacionales e Internacionales DIPLOMATURA EN SEGURIDAD INFORMÁTICA Ingeniería Reversa Proceso de comprender el funcionamiento interno de un artefacto a partir del análisis de su estructura, funciones, operaciones o código www.segu-info.com.ar 1 Desarrollo Seguro DIPLOMATURA EN SEGURIDAD INFORMÁTICA Programación Defensiva “Si hay varias maneras de hacer una tarea, y uno de estos caminos conduce al desastre, entonces alguien utilizará ese camino.” Edward Aloysius Murphy “Si algo puede salir mal, lo hará” Versión satírica de su mejor amigo Diseño Defensivo: prever y buscar soluciones para evitar fallos en la utilización de un dispositivo, que puedan llevar a un resultado inesperado DIPLOMATURA EN SEGURIDAD INFORMÁTICA Prácticas de Programación defensiva • • • • • • • • www.segu-info.com.ar Código simple y pequeño Código consistente y con estilo Usar nombres y variables consistentes Seguir los estándares y guías Reusabilidad de código Minimizar la retención de información Usar encapsulamiento Validar, validar, validar… 2 Desarrollo Seguro DIPLOMATURA EN SEGURIDAD INFORMÁTICA DIPLOMATURA EN SEGURIDAD INFORMÁTICA CWE Top 25 • CWE/SANS Top 25 es una lista de los errores de programación más comunes, difundidos y críticos y que pueden conducir a serias vulnerabilidades de software • CWE sitio contiene datos sobre más de 900 errores de programación, arquitectura y diseño que pueden dar lugar a vulnerabilidades explotables http://cwe.mitre.org/top25/ http://www.sans.org/top20 www.segu-info.com.ar 3 Desarrollo Seguro DIPLOMATURA EN SEGURIDAD INFORMÁTICA DIPLOMATURA EN SEGURIDAD INFORMÁTICA Enfoque de Riesgo de OWASP OWASP www.segu-info.com.ar 4 Desarrollo Seguro DIPLOMATURA EN SEGURIDAD INFORMÁTICA OWASP Top 10 (I) • Basado en The OWASP Risk Rating Methodology • El objetivo principal de OWASP Top 10 es educar desarrolladores, diseñadores, arquitectos, gerentes, y organizaciones sobre las consecuencias de las vulnerabilidades de seguridad en aplicaciones web • Provee información sobre cómo evaluar los riesgos en las aplicaciones web • Describe la probabilidad general de ocurrencia y sus consecuencias • Presenta una orientación sobre cómo verificar los problemas y cómo evitarlos http://bit.ly/owasptop10 http://segu.info/guia DIPLOMATURA EN SEGURIDAD INFORMÁTICA OWASP Top 10 (II) 1. Injection 2. Broken Authentication and Session Management 3. Cross-Site Scripting (XSS) 4. Insecure Direct Object References 5. Security Misconfiguration 6. Sensitive Data Exposure 7. Missing Function Level Access Control 8. Cross-Site Request Forgery (CSRF) 9. Using Known Vulnerable Components 10.Unvalidated Redirects and Forwards www.segu-info.com.ar 5