SlideShare a Scribd company logo

Developers: Ignorance is... bliss?

Cristián Rojas, MSc., CSSLP
Cristián Rojas, MSc., CSSLP

Este documento discute varios factores que contribuyen a que los desarrolladores produzcan código inseguro, incluyendo factores técnicos, psicológicos y del mundo real como la presión por producir rápidamente. También recomienda formas de abordar este problema a través de la educación, herramientas y mejores prácticas de seguridad como considerar conceptos de seguridad desde el inicio del desarrollo de software.

Technology
1 of 32
Download to read offline
Developers: Ignorance is… bliss? Cristián Rojas, CSSLP CLCERT Universidadde Chile
About: Cristián Rojas ● Ingeniero Civil en Computación y Tesista MSc- CS DCC-UCHILE ● Múltiples funciones en INFOSEC: – Mercenario-Consigliere – Profesor-Instructor – Investigador (CLCERT-UCHILE) ● ISC2 Certified Secure Software Lifecycle Professional (CSSLP) ● INFOSEC-Privacy-Kittehs- Beer Geek Foto: 8.8 Security Conference 2015. Meme: @RobertoRiquelme
Foto: 8.8 Security Conference 2015 Ya, ¿ahora sí?
Vulnerabilidades
Violación del principio de privilegio mínimo ● Abuso de permisos en apps móviles – Si tu app es para iluminar con el flash de la cámara ¿necesitas permisos para acceder a contactos, GPS, SMS, etc? ● GRANT ALL PRIVILEGES ON my_db to user;
Código de Debugging/Logging Abandonado ● phpinfo.php ● Código TRACE abandonado ● Builds generados en modo Debug ● Exceso de logging – A veces con información sensible
I want your SK now, Mr. Anderson. SHA1 RC4 Mala configuración SSL/TLS
Mal uso de cifrado en Reposo ● ENCRYPT ALL THE THINGS!!! ● Ya, pero… – ¿Qué tipo de encriptación vas a usar? – ¿Qué llave de cifrado? ● Hardcodeadas ● Basadas en información fácil de obtener ● Algoritmos criptográficos tejidos en casa – “Super-encriptación”
base64(md5(AES-ECB(data, DEVICE_ID)))
Mal almacenamiento de Passwords ● Almacenamiento de claves usando: – Texto plano – Hashes MD5 – Sin sal criptográfica ● No conocen los KDF – PBKDF2 – BCrypt @cadcc
Exceso de confianza en secretos ● Ocultamiento de versiones de servidores ● Uso de medidas anti-ingeniería reversa ● ¿Eso realmente hace más segura tu aplicación? Easy money! “Terminator 2”, Tristar, 1991
Exceso de confianza en herramientas ● Frameworks – Ej. Ruby on Rails, Django, NodeJS, Android SDK, iOS SDK, etc... – ¿Tienen documentación de seguridad? – “No, si el framework trae seguridad integrada. Yo no tengo que preocuparme de nada”
Exceso de confianza en herramientas ● Content Management Systems (CMS) – Ej. Wordpress, Drupal, Joomla… – ¿Qué consideraciones de seguridad hay que tener en cuenta? – ¿Les hacemos un cariñito de vez en cuando? Eduardo Bonvallet, 1955-2015
Exceso de confianza en herramientas ● Paneles de Control – Ej. CPanel, PHPMyAdmin – Clásicos en servicios de hosting – Excesiva cantidad de privilegios – A menudo en entornos HTTP sin protección
Exceso de confianza en herramientas ● “Usemos este scanner de vulnerabilidades” (muy caro, dicho sea de paso) – ¿Saben cómo accionar las vulnerabilidades que reporta? – ¿Saben cómo reconocer falsos positivos? – ¿Son seguros para escanear ambientes de producción? ● La seguridad es algo que hay que pensar
¿Por qué los buenos desarrolladores hacemos código inseguro?
Factores Técnicos ● “El todo es más que la suma de sus partes” (NOT!) – Más que desarrollando, armando Legos ● Hay fallas que surgen espontáneamente ¿Por qué?
Factores psicológicos ● Programar es una actividad difícil y frustrante ● Nunca debemos confiar ciegamente en el código de otro (ahora... anda a que alguien llegue a desconfiar del de uno) ● Nosotros descansamos en la abstracción... los chicos malos se fijan en los detalles
Factores del mundo real ● La fuente de nuestro código fuente ● El desarrollo de software es cada día más democrático ● La presión de producir, producir, producir – Y seguridad, ¿cuándo?
Factores del mundo real ● “¿Cuándo dejarán de vendernos esta porquería?” – “Cuando Ustedes dejen de comprarla” ● Muchas compañías restan importancia a incidentes – Anda a contactar a alguna empresa por una vulnerabilidad que les encontraste
Factores del mundo real ● Cuando aprendemos a programar, ¿vemos conceptos de seguridad? – ¿En cursos? – ¿En manuales? – ¿En documentación?
Requisitos Diseño Implementación Pruebas Operación 1X 1X 7X 15X 100X IBM Systems Sciences Institute, “Implementing Software Inspections”
¿Qué podemos hacer?
Big Data Cloud Computing Mobile Web 2.0, 3.0, 4…. Visualización Sistemas recomendadores Agile/Lean
Educación ● ¿Cursos? – CC5315 (DCC-UCHILE) – Taller de Seguridad Web (SPECT-UTFSM) – NeoSecure: “Seguridad de Aplicaciones Web” – ¿Algún otro? ● ¿Certificaciones? – Certified Secure Software Lifecycle Professional (ISC2 CSSLP) – Certified Software Development Professional (CSDP)
Educación ● Documentación (disponible libremente) – OWASP (Open Web Application Security Project) ● OWASP Top 10 2013 ● Múltiple documentación online – BSIMM-V (Build Security In Maturity Model) – NowSecure: “42+ Best Practices for Secure iOS and Android Development” – CodePoet, “Locking Down Wordpress”
Educación ● Libros – McGraw, “Software Security” – Howard, Lipner, “The Security Development Lifecycle” – Shostack, “Threat Modeling” – Ristic, “Bulletproof SSL and TLS” – Howard, LeBlanc, Viega, “24 Sins of Software Security”
Herramientas ● Configuración HTTPS – Qualys SSL Test (online) – Cipherscan (local) ● Scanneres de vulnerabilidades – OWASP ZAP – BURP Suite – W3AF – wpscan (Wordpress)
Herramientas ● Analizadores de seguridad en código – Findbugs + Find Security Bugs (Java) – JSPrime (NodeJS y otros frameworks JS) – Brakeman (Rails) – FXCop (.NET, desactualizada) – PHP Code Sniffer + phpcs-security-audit
GRACIAS… TOTALES. Contacto: crirojas@clcert.cl @injenierobarsa

Recommended

Tu banca móvil, en forma simple y ¿segura? Estado de la seguridad en apps móv...
Tu banca móvil, en forma simple y ¿segura? Estado de la seguridad en apps móv...Tu banca móvil, en forma simple y ¿segura? Estado de la seguridad en apps móv...
Tu banca móvil, en forma simple y ¿segura? Estado de la seguridad en apps móv...Cristián Rojas, MSc., CSSLP
 
Seminario virtual “Ciberseguridad para profesionales online” (#webinarsUNIA)
Seminario virtual “Ciberseguridad para profesionales online” (#webinarsUNIA)Seminario virtual “Ciberseguridad para profesionales online” (#webinarsUNIA)
Seminario virtual “Ciberseguridad para profesionales online” (#webinarsUNIA)Área de Innovación Universidad Internacional de Andalucía
 
Ethical Hacking azure juan-oliva
Ethical Hacking azure juan-olivaEthical Hacking azure juan-oliva
Ethical Hacking azure juan-olivaMUG Perú
 
Introduccion a la OWASP Guatemala
Introduccion a la OWASP GuatemalaIntroduccion a la OWASP Guatemala
Introduccion a la OWASP GuatemalaCamilo Fernandez
 
Navegacion segura
Navegacion seguraNavegacion segura
Navegacion segurayoheniapioncardenas
 
Seminario virtual “Búsqueda (y verificación) de información en red” (#webinar...
Seminario virtual “Búsqueda (y verificación) de información en red” (#webinar...Seminario virtual “Búsqueda (y verificación) de información en red” (#webinar...
Seminario virtual “Búsqueda (y verificación) de información en red” (#webinar...Área de Innovación Universidad Internacional de Andalucía
 
Webinar Gratuito: Amenazas contra la Autenticación Web
Webinar Gratuito: Amenazas contra la Autenticación WebWebinar Gratuito: Amenazas contra la Autenticación Web
Webinar Gratuito: Amenazas contra la Autenticación WebAlonso Caballero
 
Webinar Gratuito "Reconocimiento Web"
Webinar Gratuito "Reconocimiento Web"Webinar Gratuito "Reconocimiento Web"
Webinar Gratuito "Reconocimiento Web"Alonso Caballero
 

Recommended

Tu banca móvil, en forma simple y ¿segura? Estado de la seguridad en apps móv...
Tu banca móvil, en forma simple y ¿segura? Estado de la seguridad en apps móv...Tu banca móvil, en forma simple y ¿segura? Estado de la seguridad en apps móv...
Tu banca móvil, en forma simple y ¿segura? Estado de la seguridad en apps móv...Cristián Rojas, MSc., CSSLP
 
Seminario virtual “Ciberseguridad para profesionales online” (#webinarsUNIA)
Seminario virtual “Ciberseguridad para profesionales online” (#webinarsUNIA)Seminario virtual “Ciberseguridad para profesionales online” (#webinarsUNIA)
Seminario virtual “Ciberseguridad para profesionales online” (#webinarsUNIA)Área de Innovación Universidad Internacional de Andalucía
 
Ethical Hacking azure juan-oliva
Ethical Hacking azure juan-olivaEthical Hacking azure juan-oliva
Ethical Hacking azure juan-olivaMUG Perú
 
Introduccion a la OWASP Guatemala
Introduccion a la OWASP GuatemalaIntroduccion a la OWASP Guatemala
Introduccion a la OWASP GuatemalaCamilo Fernandez
 
Navegacion segura
Navegacion seguraNavegacion segura
Navegacion segurayoheniapioncardenas
 
Seminario virtual “Búsqueda (y verificación) de información en red” (#webinar...
Seminario virtual “Búsqueda (y verificación) de información en red” (#webinar...Seminario virtual “Búsqueda (y verificación) de información en red” (#webinar...
Seminario virtual “Búsqueda (y verificación) de información en red” (#webinar...Área de Innovación Universidad Internacional de Andalucía
 
Webinar Gratuito: Amenazas contra la Autenticación Web
Webinar Gratuito: Amenazas contra la Autenticación WebWebinar Gratuito: Amenazas contra la Autenticación Web
Webinar Gratuito: Amenazas contra la Autenticación WebAlonso Caballero
 
Webinar Gratuito "Reconocimiento Web"
Webinar Gratuito "Reconocimiento Web"Webinar Gratuito "Reconocimiento Web"
Webinar Gratuito "Reconocimiento Web"Alonso Caballero
 
Tutoriales[1]
Tutoriales[1]Tutoriales[1]
Tutoriales[1]Ezedipa
 
Ud 5 (1)
Ud 5 (1)Ud 5 (1)
Ud 5 (1)jgn1995
 
Naturalezammaloka2
Naturalezammaloka2Naturalezammaloka2
Naturalezammaloka2esteban_paredes13
 
Coco taxi
Coco taxiCoco taxi
Coco taxidavids.santibanez
 
Trabajo grupal webquest
Trabajo grupal webquestTrabajo grupal webquest
Trabajo grupal webquestMaría Muñoz Gómez
 
Modelo pledagógico de la fcecep vanner ocoro
Modelo pledagógico de la fcecep vanner ocoroModelo pledagógico de la fcecep vanner ocoro
Modelo pledagógico de la fcecep vanner ocorovanner17
 
1111 1107-1-pb
1111 1107-1-pb1111 1107-1-pb
1111 1107-1-pbEmerson Mayon Sanchez
 
E learning
E learningE learning
E learningopangulo95
 
Blogs
BlogsBlogs
Blogssebastian9paez
 
Problematica (reparado) 2
Problematica (reparado) 2Problematica (reparado) 2
Problematica (reparado) 2isabelgregorio
 
Inteligencias múltiples y artificial
Inteligencias múltiples y artificialInteligencias múltiples y artificial
Inteligencias múltiples y artificialF28N
 
Grupo I Cyberconstructores (Fase Planificación)
Grupo I Cyberconstructores (Fase Planificación)Grupo I Cyberconstructores (Fase Planificación)
Grupo I Cyberconstructores (Fase Planificación)luiscristianp
 
Medios
MediosMedios
MediosCecilia Irurtia
 
Ingenioso asalto a mano armada
Ingenioso asalto a mano armadaIngenioso asalto a mano armada
Ingenioso asalto a mano armadaloschicosdetercero
 
Expo sig
Expo sigExpo sig
Expo sigCarito Flores
 
Ecuador y sus riquezas turísticas
Ecuador y sus riquezas turísticasEcuador y sus riquezas turísticas
Ecuador y sus riquezas turísticasOscar-ito Muñoz
 
Invitación Carlo Petrini en Bogotá
Invitación Carlo Petrini en BogotáInvitación Carlo Petrini en Bogotá
Invitación Carlo Petrini en BogotáFundación Acua
 
Objetos de aprendizaje final tec
Objetos de aprendizaje final tecObjetos de aprendizaje final tec
Objetos de aprendizaje final tecrosajimram
 
Antivirus parte b
Antivirus parte bAntivirus parte b
Antivirus parte bLUZMOMO_22
 
Fotobiografia, resumen exposicion
Fotobiografia, resumen exposicionFotobiografia, resumen exposicion
Fotobiografia, resumen exposicionRossi Potenciano
 
Aplicaciones seguras
Aplicaciones seguras Aplicaciones seguras
Aplicaciones seguras Universidad Cenfotec
 
Medidas básicas de seguridad informática para empresas
Medidas básicas de seguridad informática para empresasMedidas básicas de seguridad informática para empresas
Medidas básicas de seguridad informática para empresasHéctor López
 

More Related Content

Viewers also liked

Tutoriales[1]
Tutoriales[1]Tutoriales[1]
Tutoriales[1]Ezedipa
 
Ud 5 (1)
Ud 5 (1)Ud 5 (1)
Ud 5 (1)jgn1995
 
Modelo pledagógico de la fcecep vanner ocoro
Modelo pledagógico de la fcecep vanner ocoroModelo pledagógico de la fcecep vanner ocoro
Modelo pledagógico de la fcecep vanner ocorovanner17
 
Problematica (reparado) 2
Problematica (reparado) 2Problematica (reparado) 2
Problematica (reparado) 2isabelgregorio
 
Inteligencias múltiples y artificial
Inteligencias múltiples y artificialInteligencias múltiples y artificial
Inteligencias múltiples y artificialF28N
 
Grupo I Cyberconstructores (Fase Planificación)
Grupo I Cyberconstructores (Fase Planificación)Grupo I Cyberconstructores (Fase Planificación)
Grupo I Cyberconstructores (Fase Planificación)luiscristianp
 
Ingenioso asalto a mano armada
Ingenioso asalto a mano armadaIngenioso asalto a mano armada
Ingenioso asalto a mano armadaloschicosdetercero
 
Ecuador y sus riquezas turísticas
Ecuador y sus riquezas turísticasEcuador y sus riquezas turísticas
Ecuador y sus riquezas turísticasOscar-ito Muñoz
 
Invitación Carlo Petrini en Bogotá
Invitación Carlo Petrini en BogotáInvitación Carlo Petrini en Bogotá
Invitación Carlo Petrini en BogotáFundación Acua
 
Objetos de aprendizaje final tec
Objetos de aprendizaje final tecObjetos de aprendizaje final tec
Objetos de aprendizaje final tecrosajimram
 
Antivirus parte b
Antivirus parte bAntivirus parte b
Antivirus parte bLUZMOMO_22
 
Fotobiografia, resumen exposicion
Fotobiografia, resumen exposicionFotobiografia, resumen exposicion
Fotobiografia, resumen exposicionRossi Potenciano
 

Viewers also liked (20)

Tutoriales[1]
Tutoriales[1]Tutoriales[1]
Tutoriales[1]
 
Ud 5 (1)
Ud 5 (1)Ud 5 (1)
Ud 5 (1)
 
Naturalezammaloka2
Naturalezammaloka2Naturalezammaloka2
Naturalezammaloka2
 
Coco taxi
Coco taxiCoco taxi
Coco taxi
 
Trabajo grupal webquest
Trabajo grupal webquestTrabajo grupal webquest
Trabajo grupal webquest
 
Modelo pledagógico de la fcecep vanner ocoro
Modelo pledagógico de la fcecep vanner ocoroModelo pledagógico de la fcecep vanner ocoro
Modelo pledagógico de la fcecep vanner ocoro
 
1111 1107-1-pb
1111 1107-1-pb1111 1107-1-pb
1111 1107-1-pb
 
E learning
E learningE learning
E learning
 
Blogs
BlogsBlogs
Blogs
 
Problematica (reparado) 2
Problematica (reparado) 2Problematica (reparado) 2
Problematica (reparado) 2
 
Inteligencias múltiples y artificial
Inteligencias múltiples y artificialInteligencias múltiples y artificial
Inteligencias múltiples y artificial
 
Grupo I Cyberconstructores (Fase Planificación)
Grupo I Cyberconstructores (Fase Planificación)Grupo I Cyberconstructores (Fase Planificación)
Grupo I Cyberconstructores (Fase Planificación)
 
Medios
MediosMedios
Medios
 
Ingenioso asalto a mano armada
Ingenioso asalto a mano armadaIngenioso asalto a mano armada
Ingenioso asalto a mano armada
 
Expo sig
Expo sigExpo sig
Expo sig
 
Ecuador y sus riquezas turísticas
Ecuador y sus riquezas turísticasEcuador y sus riquezas turísticas
Ecuador y sus riquezas turísticas
 
Invitación Carlo Petrini en Bogotá
Invitación Carlo Petrini en BogotáInvitación Carlo Petrini en Bogotá
Invitación Carlo Petrini en Bogotá
 
Objetos de aprendizaje final tec
Objetos de aprendizaje final tecObjetos de aprendizaje final tec
Objetos de aprendizaje final tec
 
Antivirus parte b
Antivirus parte bAntivirus parte b
Antivirus parte b
 
Fotobiografia, resumen exposicion
Fotobiografia, resumen exposicionFotobiografia, resumen exposicion
Fotobiografia, resumen exposicion
 

Similar to Developers: Ignorance is... bliss?

Medidas básicas de seguridad informática para empresas
Medidas básicas de seguridad informática para empresasMedidas básicas de seguridad informática para empresas
Medidas básicas de seguridad informática para empresasHéctor López
 
Dragonjarcon2015 - ¿Cómo programar aplicaciones seguras? por Paulino Calderon...
Dragonjarcon2015 - ¿Cómo programar aplicaciones seguras? por Paulino Calderon...Dragonjarcon2015 - ¿Cómo programar aplicaciones seguras? por Paulino Calderon...
Dragonjarcon2015 - ¿Cómo programar aplicaciones seguras? por Paulino Calderon...Websec México, S.C.
 
Capacitacion sobre Desarrollo Seguro - SDL / OWASP 2013
Capacitacion sobre Desarrollo Seguro - SDL / OWASP 2013Capacitacion sobre Desarrollo Seguro - SDL / OWASP 2013
Capacitacion sobre Desarrollo Seguro - SDL / OWASP 2013Enrique Gustavo Dutra
 
Curso de Seguridad de la Informacion
Curso de Seguridad de la InformacionCurso de Seguridad de la Informacion
Curso de Seguridad de la Informacioncautio
 
Introduccion seguridad informatica - chakan
Introduccion seguridad informatica - chakanIntroduccion seguridad informatica - chakan
Introduccion seguridad informatica - chakanch4k4n
 
Diapositivas guia 1 de software.melissa burgos
Diapositivas guia 1 de software.melissa burgosDiapositivas guia 1 de software.melissa burgos
Diapositivas guia 1 de software.melissa burgosMelissa Burgos
 
Terranova Training
Terranova TrainingTerranova Training
Terranova Trainingcautio
 
Fundamentos Seguridad OT - Mod 1-2 (1).pdf
Fundamentos Seguridad OT - Mod 1-2 (1).pdfFundamentos Seguridad OT - Mod 1-2 (1).pdf
Fundamentos Seguridad OT - Mod 1-2 (1).pdfAlonsoCid
 
Arduino Software - Servicios de Seguridad Informática
Arduino Software - Servicios de Seguridad InformáticaArduino Software - Servicios de Seguridad Informática
Arduino Software - Servicios de Seguridad InformáticaGerman Arduino
 
Seguridad y auditoría de Apps o aplicaciones móviles
Seguridad y auditoría de Apps o aplicaciones móvilesSeguridad y auditoría de Apps o aplicaciones móviles
Seguridad y auditoría de Apps o aplicaciones móvilesJaime Andrés Bello Vieda
 
Asegúr@IT IV - Microsoft y Seguridad
Asegúr@IT IV - Microsoft y SeguridadAsegúr@IT IV - Microsoft y Seguridad
Asegúr@IT IV - Microsoft y SeguridadChema Alonso
 
Análisis de Aplicaciones móviles - aspectos de seguridad
Análisis de Aplicaciones móviles - aspectos de seguridadAnálisis de Aplicaciones móviles - aspectos de seguridad
Análisis de Aplicaciones móviles - aspectos de seguridadArgentesting
 

Similar to Developers: Ignorance is... bliss? (20)

Aplicaciones seguras
Aplicaciones seguras Aplicaciones seguras
Aplicaciones seguras
 
Medidas básicas de seguridad informática para empresas
Medidas básicas de seguridad informática para empresasMedidas básicas de seguridad informática para empresas
Medidas básicas de seguridad informática para empresas
 
Dragonjarcon2015 - ¿Cómo programar aplicaciones seguras? por Paulino Calderon...
Dragonjarcon2015 - ¿Cómo programar aplicaciones seguras? por Paulino Calderon...Dragonjarcon2015 - ¿Cómo programar aplicaciones seguras? por Paulino Calderon...
Dragonjarcon2015 - ¿Cómo programar aplicaciones seguras? por Paulino Calderon...
 
Capacitacion sobre Desarrollo Seguro - SDL / OWASP 2013
Capacitacion sobre Desarrollo Seguro - SDL / OWASP 2013Capacitacion sobre Desarrollo Seguro - SDL / OWASP 2013
Capacitacion sobre Desarrollo Seguro - SDL / OWASP 2013
 
Curso de Seguridad de la Informacion
Curso de Seguridad de la InformacionCurso de Seguridad de la Informacion
Curso de Seguridad de la Informacion
 
Introduccion seguridad informatica - chakan
Introduccion seguridad informatica - chakanIntroduccion seguridad informatica - chakan
Introduccion seguridad informatica - chakan
 
Herramientas Tecnológicas.pdf
Herramientas Tecnológicas.pdfHerramientas Tecnológicas.pdf
Herramientas Tecnológicas.pdf
 
Ingenieria de software - Unidad 4 seguridad
Ingenieria de software - Unidad 4 seguridadIngenieria de software - Unidad 4 seguridad
Ingenieria de software - Unidad 4 seguridad
 
Semana de la I+D - Proyecto OPOSSUM
Semana de la I+D - Proyecto OPOSSUMSemana de la I+D - Proyecto OPOSSUM
Semana de la I+D - Proyecto OPOSSUM
 
Seguridad de Software: Una Introducción
Seguridad de Software: Una IntroducciónSeguridad de Software: Una Introducción
Seguridad de Software: Una Introducción
 
Diapositivas guia 1 de software.melissa burgos
Diapositivas guia 1 de software.melissa burgosDiapositivas guia 1 de software.melissa burgos
Diapositivas guia 1 de software.melissa burgos
 
Terranova Training
Terranova TrainingTerranova Training
Terranova Training
 
Fundamentos Seguridad OT - Mod 1-2 (1).pdf
Fundamentos Seguridad OT - Mod 1-2 (1).pdfFundamentos Seguridad OT - Mod 1-2 (1).pdf
Fundamentos Seguridad OT - Mod 1-2 (1).pdf
 
Seguridad Global
Seguridad GlobalSeguridad Global
Seguridad Global
 
Arduino Software - Servicios de Seguridad Informática
Arduino Software - Servicios de Seguridad InformáticaArduino Software - Servicios de Seguridad Informática
Arduino Software - Servicios de Seguridad Informática
 
Seguridad y auditoría de Apps o aplicaciones móviles
Seguridad y auditoría de Apps o aplicaciones móvilesSeguridad y auditoría de Apps o aplicaciones móviles
Seguridad y auditoría de Apps o aplicaciones móviles
 
Asegúr@IT IV - Microsoft y Seguridad
Asegúr@IT IV - Microsoft y SeguridadAsegúr@IT IV - Microsoft y Seguridad
Asegúr@IT IV - Microsoft y Seguridad
 
2020 enero Argentesting
2020 enero Argentesting2020 enero Argentesting
2020 enero Argentesting
 
Análisis de Aplicaciones móviles - aspectos de seguridad
Análisis de Aplicaciones móviles - aspectos de seguridadAnálisis de Aplicaciones móviles - aspectos de seguridad
Análisis de Aplicaciones móviles - aspectos de seguridad
 
Iswi t01 - ing sofware
Iswi t01 - ing sofwareIswi t01 - ing sofware
Iswi t01 - ing sofware
 

Recently uploaded

R1600G CAT Variables de cargadores en mina
R1600G CAT Variables de cargadores en minaR1600G CAT Variables de cargadores en mina
R1600G CAT Variables de cargadores en minaarkananubis
 
Mapa-conceptual-del-Origen-del-Universo-3.pptx
Mapa-conceptual-del-Origen-del-Universo-3.pptxMapa-conceptual-del-Origen-del-Universo-3.pptx
Mapa-conceptual-del-Origen-del-Universo-3.pptxMidwarHenryLOZAFLORE
 
Segunda ley de la termodinámica TERMODINAMICA.pptx
Segunda ley de la termodinámica TERMODINAMICA.pptxSegunda ley de la termodinámica TERMODINAMICA.pptx
Segunda ley de la termodinámica TERMODINAMICA.pptxMariaBurgos55
 
dokumen.tips_36274588-sistema-heui-eui.ppt
dokumen.tips_36274588-sistema-heui-eui.pptdokumen.tips_36274588-sistema-heui-eui.ppt
dokumen.tips_36274588-sistema-heui-eui.pptMiguelAtencio10
 
Hernandez_Hernandez_Practica web de la sesion 11.pptx
Hernandez_Hernandez_Practica web de la sesion 11.pptxHernandez_Hernandez_Practica web de la sesion 11.pptx
Hernandez_Hernandez_Practica web de la sesion 11.pptxJOSEMANUELHERNANDEZH11
 
Medidas de formas, coeficiente de asimetría y coeficiente de curtosis.pptx
Medidas de formas, coeficiente de asimetría y coeficiente de curtosis.pptxMedidas de formas, coeficiente de asimetría y coeficiente de curtosis.pptx
Medidas de formas, coeficiente de asimetría y coeficiente de curtosis.pptxaylincamaho
 
Crear un recurso multimedia. Maricela_Ponce_DomingoM1S3AI6-1.pptx
Crear un recurso multimedia. Maricela_Ponce_DomingoM1S3AI6-1.pptxCrear un recurso multimedia. Maricela_Ponce_DomingoM1S3AI6-1.pptx
Crear un recurso multimedia. Maricela_Ponce_DomingoM1S3AI6-1.pptxNombre Apellidos
 
El uso de las TIC's en la vida cotidiana.
El uso de las TIC's en la vida cotidiana.El uso de las TIC's en la vida cotidiana.
El uso de las TIC's en la vida cotidiana.241514949
 
Arenas Camacho-Practica tarea Sesión 12.pptx
Arenas Camacho-Practica tarea Sesión 12.pptxArenas Camacho-Practica tarea Sesión 12.pptx
Arenas Camacho-Practica tarea Sesión 12.pptxJOSEFERNANDOARENASCA
 
tics en la vida cotidiana prepa en linea modulo 1.pptx
tics en la vida cotidiana prepa en linea modulo 1.pptxtics en la vida cotidiana prepa en linea modulo 1.pptx
tics en la vida cotidiana prepa en linea modulo 1.pptxazmysanros90
 
El uso delas tic en la vida cotidiana MFEL
El uso delas tic en la vida cotidiana MFELEl uso delas tic en la vida cotidiana MFEL
El uso delas tic en la vida cotidiana MFELmaryfer27m
 
El_Blog_como_herramienta_de_publicacion_y_consulta_de_investigacion.pptx
El_Blog_como_herramienta_de_publicacion_y_consulta_de_investigacion.pptxEl_Blog_como_herramienta_de_publicacion_y_consulta_de_investigacion.pptx
El_Blog_como_herramienta_de_publicacion_y_consulta_de_investigacion.pptxAlexander López
 
GonzalezGonzalez_Karina_M1S3AI6... .pptx
GonzalezGonzalez_Karina_M1S3AI6... .pptxGonzalezGonzalez_Karina_M1S3AI6... .pptx
GonzalezGonzalez_Karina_M1S3AI6... .pptx241523733
 
Actividad integradora 6 CREAR UN RECURSO MULTIMEDIA
Actividad integradora 6 CREAR UN RECURSO MULTIMEDIAActividad integradora 6 CREAR UN RECURSO MULTIMEDIA
Actividad integradora 6 CREAR UN RECURSO MULTIMEDIA241531640
 
TEMA 2 PROTOCOLO DE EXTRACCION VEHICULAR.ppt
TEMA 2 PROTOCOLO DE EXTRACCION VEHICULAR.pptTEMA 2 PROTOCOLO DE EXTRACCION VEHICULAR.ppt
TEMA 2 PROTOCOLO DE EXTRACCION VEHICULAR.pptJavierHerrera662252
 
Google-Meet-como-herramienta-para-realizar-reuniones-virtuales.pptx
Google-Meet-como-herramienta-para-realizar-reuniones-virtuales.pptxGoogle-Meet-como-herramienta-para-realizar-reuniones-virtuales.pptx
Google-Meet-como-herramienta-para-realizar-reuniones-virtuales.pptxAlexander López
 
Presentación inteligencia artificial en la actualidad
Presentación inteligencia artificial en la actualidadPresentación inteligencia artificial en la actualidad
Presentación inteligencia artificial en la actualidadMiguelAngelVillanuev48
 
definicion segun autores de matemáticas educativa
definicion segun autores de matemáticas educativadefinicion segun autores de matemáticas educativa
definicion segun autores de matemáticas educativaAdrianaMartnez618894
 
LAS_TIC_COMO_HERRAMIENTAS_EN_LA_INVESTIGACIÓN.pptx
LAS_TIC_COMO_HERRAMIENTAS_EN_LA_INVESTIGACIÓN.pptxLAS_TIC_COMO_HERRAMIENTAS_EN_LA_INVESTIGACIÓN.pptx
LAS_TIC_COMO_HERRAMIENTAS_EN_LA_INVESTIGACIÓN.pptxAlexander López
 
La era de la educación digital y sus desafios
La era de la educación digital y sus desafiosLa era de la educación digital y sus desafios
La era de la educación digital y sus desafiosFundación YOD YOD
 

Recently uploaded (20)

R1600G CAT Variables de cargadores en mina
R1600G CAT Variables de cargadores en minaR1600G CAT Variables de cargadores en mina
R1600G CAT Variables de cargadores en mina
 
Mapa-conceptual-del-Origen-del-Universo-3.pptx
Mapa-conceptual-del-Origen-del-Universo-3.pptxMapa-conceptual-del-Origen-del-Universo-3.pptx
Mapa-conceptual-del-Origen-del-Universo-3.pptx
 
Segunda ley de la termodinámica TERMODINAMICA.pptx
Segunda ley de la termodinámica TERMODINAMICA.pptxSegunda ley de la termodinámica TERMODINAMICA.pptx
Segunda ley de la termodinámica TERMODINAMICA.pptx
 
dokumen.tips_36274588-sistema-heui-eui.ppt
dokumen.tips_36274588-sistema-heui-eui.pptdokumen.tips_36274588-sistema-heui-eui.ppt
dokumen.tips_36274588-sistema-heui-eui.ppt
 
Hernandez_Hernandez_Practica web de la sesion 11.pptx
Hernandez_Hernandez_Practica web de la sesion 11.pptxHernandez_Hernandez_Practica web de la sesion 11.pptx
Hernandez_Hernandez_Practica web de la sesion 11.pptx
 
Medidas de formas, coeficiente de asimetría y coeficiente de curtosis.pptx
Medidas de formas, coeficiente de asimetría y coeficiente de curtosis.pptxMedidas de formas, coeficiente de asimetría y coeficiente de curtosis.pptx
Medidas de formas, coeficiente de asimetría y coeficiente de curtosis.pptx
 
Crear un recurso multimedia. Maricela_Ponce_DomingoM1S3AI6-1.pptx
Crear un recurso multimedia. Maricela_Ponce_DomingoM1S3AI6-1.pptxCrear un recurso multimedia. Maricela_Ponce_DomingoM1S3AI6-1.pptx
Crear un recurso multimedia. Maricela_Ponce_DomingoM1S3AI6-1.pptx
 
El uso de las TIC's en la vida cotidiana.
El uso de las TIC's en la vida cotidiana.El uso de las TIC's en la vida cotidiana.
El uso de las TIC's en la vida cotidiana.
 
Arenas Camacho-Practica tarea Sesión 12.pptx
Arenas Camacho-Practica tarea Sesión 12.pptxArenas Camacho-Practica tarea Sesión 12.pptx
Arenas Camacho-Practica tarea Sesión 12.pptx
 
tics en la vida cotidiana prepa en linea modulo 1.pptx
tics en la vida cotidiana prepa en linea modulo 1.pptxtics en la vida cotidiana prepa en linea modulo 1.pptx
tics en la vida cotidiana prepa en linea modulo 1.pptx
 
El uso delas tic en la vida cotidiana MFEL
El uso delas tic en la vida cotidiana MFELEl uso delas tic en la vida cotidiana MFEL
El uso delas tic en la vida cotidiana MFEL
 
El_Blog_como_herramienta_de_publicacion_y_consulta_de_investigacion.pptx
El_Blog_como_herramienta_de_publicacion_y_consulta_de_investigacion.pptxEl_Blog_como_herramienta_de_publicacion_y_consulta_de_investigacion.pptx
El_Blog_como_herramienta_de_publicacion_y_consulta_de_investigacion.pptx
 
GonzalezGonzalez_Karina_M1S3AI6... .pptx
GonzalezGonzalez_Karina_M1S3AI6... .pptxGonzalezGonzalez_Karina_M1S3AI6... .pptx
GonzalezGonzalez_Karina_M1S3AI6... .pptx
 
Actividad integradora 6 CREAR UN RECURSO MULTIMEDIA
Actividad integradora 6 CREAR UN RECURSO MULTIMEDIAActividad integradora 6 CREAR UN RECURSO MULTIMEDIA
Actividad integradora 6 CREAR UN RECURSO MULTIMEDIA
 
TEMA 2 PROTOCOLO DE EXTRACCION VEHICULAR.ppt
TEMA 2 PROTOCOLO DE EXTRACCION VEHICULAR.pptTEMA 2 PROTOCOLO DE EXTRACCION VEHICULAR.ppt
TEMA 2 PROTOCOLO DE EXTRACCION VEHICULAR.ppt
 
Google-Meet-como-herramienta-para-realizar-reuniones-virtuales.pptx
Google-Meet-como-herramienta-para-realizar-reuniones-virtuales.pptxGoogle-Meet-como-herramienta-para-realizar-reuniones-virtuales.pptx
Google-Meet-como-herramienta-para-realizar-reuniones-virtuales.pptx
 
Presentación inteligencia artificial en la actualidad
Presentación inteligencia artificial en la actualidadPresentación inteligencia artificial en la actualidad
Presentación inteligencia artificial en la actualidad
 
definicion segun autores de matemáticas educativa
definicion segun autores de matemáticas educativadefinicion segun autores de matemáticas educativa
definicion segun autores de matemáticas educativa
 
LAS_TIC_COMO_HERRAMIENTAS_EN_LA_INVESTIGACIÓN.pptx
LAS_TIC_COMO_HERRAMIENTAS_EN_LA_INVESTIGACIÓN.pptxLAS_TIC_COMO_HERRAMIENTAS_EN_LA_INVESTIGACIÓN.pptx
LAS_TIC_COMO_HERRAMIENTAS_EN_LA_INVESTIGACIÓN.pptx
 
La era de la educación digital y sus desafios
La era de la educación digital y sus desafiosLa era de la educación digital y sus desafios
La era de la educación digital y sus desafios
 

Developers: Ignorance is... bliss?

  • 1. Developers: Ignorance is… bliss? Cristián Rojas, CSSLP CLCERT Universidadde Chile
  • 2. About: Cristián Rojas ● Ingeniero Civil en Computación y Tesista MSc- CS DCC-UCHILE ● Múltiples funciones en INFOSEC: – Mercenario-Consigliere – Profesor-Instructor – Investigador (CLCERT-UCHILE) ● ISC2 Certified Secure Software Lifecycle Professional (CSSLP) ● INFOSEC-Privacy-Kittehs- Beer Geek Foto: 8.8 Security Conference 2015. Meme: @RobertoRiquelme
  • 3. Foto: 8.8 Security Conference 2015 Ya, ¿ahora sí?
  • 5. Violación del principio de privilegio mínimo ● Abuso de permisos en apps móviles – Si tu app es para iluminar con el flash de la cámara ¿necesitas permisos para acceder a contactos, GPS, SMS, etc? ● GRANT ALL PRIVILEGES ON my_db to user;
  • 6. Código de Debugging/Logging Abandonado ● phpinfo.php ● Código TRACE abandonado ● Builds generados en modo Debug ● Exceso de logging – A veces con información sensible
  • 7. I want your SK now, Mr. Anderson. SHA1 RC4 Mala configuración SSL/TLS
  • 8.
  • 9. Mal uso de cifrado en Reposo ● ENCRYPT ALL THE THINGS!!! ● Ya, pero… – ¿Qué tipo de encriptación vas a usar? – ¿Qué llave de cifrado? ● Hardcodeadas ● Basadas en información fácil de obtener ● Algoritmos criptográficos tejidos en casa – “Super-encriptación”
  • 11.
  • 12. Mal almacenamiento de Passwords ● Almacenamiento de claves usando: – Texto plano – Hashes MD5 – Sin sal criptográfica ● No conocen los KDF – PBKDF2 – BCrypt @cadcc
  • 13. Exceso de confianza en secretos ● Ocultamiento de versiones de servidores ● Uso de medidas anti-ingeniería reversa ● ¿Eso realmente hace más segura tu aplicación? Easy money! “Terminator 2”, Tristar, 1991
  • 14. Exceso de confianza en herramientas ● Frameworks – Ej. Ruby on Rails, Django, NodeJS, Android SDK, iOS SDK, etc... – ¿Tienen documentación de seguridad? – “No, si el framework trae seguridad integrada. Yo no tengo que preocuparme de nada”
  • 15. Exceso de confianza en herramientas ● Content Management Systems (CMS) – Ej. Wordpress, Drupal, Joomla… – ¿Qué consideraciones de seguridad hay que tener en cuenta? – ¿Les hacemos un cariñito de vez en cuando? Eduardo Bonvallet, 1955-2015
  • 16. Exceso de confianza en herramientas ● Paneles de Control – Ej. CPanel, PHPMyAdmin – Clásicos en servicios de hosting – Excesiva cantidad de privilegios – A menudo en entornos HTTP sin protección
  • 17. Exceso de confianza en herramientas ● “Usemos este scanner de vulnerabilidades” (muy caro, dicho sea de paso) – ¿Saben cómo accionar las vulnerabilidades que reporta? – ¿Saben cómo reconocer falsos positivos? – ¿Son seguros para escanear ambientes de producción? ● La seguridad es algo que hay que pensar
  • 18. ¿Por qué los buenos desarrolladores hacemos código inseguro?
  • 19. Factores Técnicos ● “El todo es más que la suma de sus partes” (NOT!) – Más que desarrollando, armando Legos ● Hay fallas que surgen espontáneamente ¿Por qué?
  • 20. Factores psicológicos ● Programar es una actividad difícil y frustrante ● Nunca debemos confiar ciegamente en el código de otro (ahora... anda a que alguien llegue a desconfiar del de uno) ● Nosotros descansamos en la abstracción... los chicos malos se fijan en los detalles
  • 21. Factores del mundo real ● La fuente de nuestro código fuente ● El desarrollo de software es cada día más democrático ● La presión de producir, producir, producir – Y seguridad, ¿cuándo?
  • 22. Factores del mundo real ● “¿Cuándo dejarán de vendernos esta porquería?” – “Cuando Ustedes dejen de comprarla” ● Muchas compañías restan importancia a incidentes – Anda a contactar a alguna empresa por una vulnerabilidad que les encontraste
  • 23. Factores del mundo real ● Cuando aprendemos a programar, ¿vemos conceptos de seguridad? – ¿En cursos? – ¿En manuales? – ¿En documentación?
  • 24. Requisitos Diseño Implementación Pruebas Operación 1X 1X 7X 15X 100X IBM Systems Sciences Institute, “Implementing Software Inspections”
  • 26. Big Data Cloud Computing Mobile Web 2.0, 3.0, 4…. Visualización Sistemas recomendadores Agile/Lean
  • 27. Educación ● ¿Cursos? – CC5315 (DCC-UCHILE) – Taller de Seguridad Web (SPECT-UTFSM) – NeoSecure: “Seguridad de Aplicaciones Web” – ¿Algún otro? ● ¿Certificaciones? – Certified Secure Software Lifecycle Professional (ISC2 CSSLP) – Certified Software Development Professional (CSDP)
  • 28. Educación ● Documentación (disponible libremente) – OWASP (Open Web Application Security Project) ● OWASP Top 10 2013 ● Múltiple documentación online – BSIMM-V (Build Security In Maturity Model) – NowSecure: “42+ Best Practices for Secure iOS and Android Development” – CodePoet, “Locking Down Wordpress”
  • 29. Educación ● Libros – McGraw, “Software Security” – Howard, Lipner, “The Security Development Lifecycle” – Shostack, “Threat Modeling” – Ristic, “Bulletproof SSL and TLS” – Howard, LeBlanc, Viega, “24 Sins of Software Security”
  • 30. Herramientas ● Configuración HTTPS – Qualys SSL Test (online) – Cipherscan (local) ● Scanneres de vulnerabilidades – OWASP ZAP – BURP Suite – W3AF – wpscan (Wordpress)
  • 31. Herramientas ● Analizadores de seguridad en código – Findbugs + Find Security Bugs (Java) – JSPrime (NodeJS y otros frameworks JS) – Brakeman (Rails) – FXCop (.NET, desactualizada) – PHP Code Sniffer + phpcs-security-audit