[Owasp-brazilian] Res: 90% of public websites are vulnerable to attack]

Eduardo V. C. Neves eduardo at camargoneves.com
Wed Mar 26 09:09:15 EDT 2008


Myke,

O pen-test é uma ótima solução, mas posso te afirmar que se ele é 
difícil de ser vendido para os clientes, mais ainda é o processo de 
monitoração. Afinal, se já tentaram invadir e corrigimos o problema, 
'tá' bom né?

Este é o raciocínio que precisamos mudar, em todos os lugares e do 
técnico iniciante até o CIO. Começar pelos bancos escolares pode ser uma 
boa idéia, não?

[]s

Myke escreveu:
> Eu vou nessa linha de raciocínio, o buraco é mais embaixo.
> Por mais que se teste e corrija falhas, coisas (vuln) novas sempre
> aparecem e não são testadas, devido ao dinamismo que a web proporciona
> e devido a falta de monitoração.
>
> a coisa funciona bem deste jeito:
> http://jeremiahgrossman.blogspot.com/2008/03/website-security-strategies-that-work.html
> http://jeremiahgrossman.blogspot.com/2008/03/100-secure-websites.html
>
> Muitos problemas poderiam ser resolvidos com pen test e uma monitoração.
> Aí entra a importância de um WAF, pois em alguns casos é complicado ou
> inviável mexer no código da aplicação.
>
> No mundo real é inviável por na prática todas as boas práticas (custo
> x benefício) para se proteger uma infra web. Em outras palavras
> deveria ser um pré-req fazer segurança em profundidade, pois com
> certeza um dia um dos controles de segurança irá falhar.
>
> sds
>
> Myke
>
>
>
> 2008/3/26 Eduardo V. C. Neves <eduardo at camargoneves.com>:
>   
>> Rodrigos e pessoal,
>>
>>  Creio que é bem mais do que isto, é uma questão de custo/benefício e
>>  falta de entendimento do processo como um todo. É mais barato atender
>>  rapidamente a demanda do mercado e cuidar dos problemas depois que eles
>>  acontecem, do que fazer um trabalho criterioso de segurança nos produtos.
>>
>>  Em relação ao mercado brasileiro, posso afirmar por experiência própria
>>  que o problema citado abaixo ocorre em todos os lugares. Já vi isso
>>  acontecer no Brasil, México, EUA, Suíça, Inglaterra ... infelizmente só
>>  muda de endereço. :-)
>>
>>  O P025 OWASP Positive Security Project tentará mudar isto na fonte do
>>  problema. Vamos ver depois do dia 2 de abril se poderemos ir em frente
>>  com a iniciativa. Torço muito para que seja escolhido, pois vejo
>>  aspectos positivos para todas estas pessoas envolvidas no hardening de
>>  produtos e implementações.
>>
>>  Um abraço,
>>
>>  --
>>  Eduardo Vianna de Camargo Neves, CISSP
>>  http://www.linkedin.com/in/camargoneves
>>  eduardo at camargoneves.com
>>  http://camargoneves.com
>>
>>
>>  Rodrigo Moreira escreveu:
>>  > Isso que dá desenvolver sem uma metodologia segura auxiliando. SDL
>>  > (ou ao menos um "SDL lite") neles.
>>  > A coisa hoje em dia é brutal.
>>  > Navegue em um site qualquer. CSRF, XSS e SQL Injection estão por toda
>>  > a parte. 95% (não estou me baseando em pesquisa, é apenas uma
>>  > observação pessoal) dos desenvolvedores nem mesmo conhecem as flaws,
>>  > quanto mais se proteger.
>>  >
>>  > A Microsoft até tentou dar uma ajuda com o SQL Surface Area
>>  > Configuration e a proteção anti XSS do ASP.NET que vem habilitada por
>>  > default. O problema é que as pessoas acabam se acomodando nas
>>  > proteções "default", delegam a responsabilidade de segurança para o
>>  > fabricante do produto e esquecem que o básico é o conceito de Defesa
>>  > em Profundidade.
>>  >
>>  > O que sinto mesmo falta no mercado brasileiro é o povo de SI
>>  > trabalhando junto com os CIO's pra conscientizar que metodologia de
>>  > desenvolvimento seguro é essencial. Acaba que muita gente só culpa os
>>  > desenvolvedores pelos erros, sem analisar as circunstâncias.
>>  >
>>  > Don't blame the developers, blame the methodology
>>  >
>>  > Regards,
>>  > Rodrigo Moreira
>>  > MCP, MCTS
>>  > Microsoft Student Partner Co-Lead
>>  > http://jackflashspot.spaces.live.com
>>  > MSRio.Net Lead.
>>  >
>>  >
>>  > ----- Mensagem original ----
>>  > De: Alexandro Silva <penguim at ubuntu.com>
>>  > Para: Rodrigo Montoro (Sp0oKeR) <spooker at gmail.com>
>>  > Cc: owasp-brazil at lists.owasp.org; owasp-brazilian at lists.owasp.org
>>  > Enviadas: Terça-feira, 25 de Março de 2008 16:01:21
>>  > Assunto: Re: [Owasp-brazilian] 90% of public websites are vulnerable
>>  > to attack
>>  >
>>  > -----BEGIN PGP SIGNED MESSAGE-----
>>  > Hash: SHA1
>>  >
>>  > Olá,
>>  >
>>  > O grande problema é que temos servidores ( web, BDs e etc ) sendo
>>  > instalados nas coxas sem hardening e aplicativos sendo desenvolvidos sem
>>  > o minimo critério de segurança.
>>  >
>>  > Está combiação favorece esse resultado catastrófico.
>>  >
>>  > Sds,
>>  >
>>  > Alexandro Silva
>>  > penguim at ubutu.com <mailto:penguim at ubutu.com>
>>  > http://penguim.wordpress.com <http://penguim.wordpress.com/>
>>  >
>>  > Rodrigo Montoro (Sp0oKeR) wrote:
>>  > >    Um bom assunto pra discutirmos , até ai nada muito novo sites
>>  > > serem bugados, mas 90% ? Isso já eh relaxo!
>>  > >
>>  > >    Matéria: http://www.net-security.org/secworld.php?id=5939
>>  > >
>>  > >    O que acham ? Alguém aqui usa WAF (Web Application Firewall) ? Sua
>>  > > empresa tem alguma metodologia de desenvolvimento web para mitigar
>>  > > problemas ? SI e Desenvolvimento planejam junto ? Simplificando, o que
>>  > > fazem para mitigar esse risco de estar entre os 90% vulneráveis ?
>>  > >
>>  > >
>>  > > []z! Rodrigo Montoro (Sp0oKeR)
>>  > >
>>  >
>>  > -----BEGIN PGP SIGNATURE-----
>>  > Version: GnuPG v1.4.6 (GNU/Linux)
>>  > Comment: Using GnuPG with Mozilla - http://enigmail.mozdev.org
>>  > <http://enigmail.mozdev.org/>
>>  >
>>  > iD8DBQFH6UwBpAfA9N0IERwRAn6JAKDCqNpZuFEiO1r0IOAakJ1/9OShzgCguj0L
>>  > 0rkmbu/n46ulqz24ToCSV9A=
>>  > =wt8e
>>  > -----END PGP SIGNATURE-----
>>  > _______________________________________________
>>  > Owasp-brazilian mailing list
>>  > Owasp-brazilian at lists.owasp.org <mailto:Owasp-brazilian at lists.owasp.org>
>>  > https://lists.owasp.org/mailman/listinfo/owasp-brazilian
>>  >
>>  >
>>  > ------------------------------------------------------------------------
>>  > Abra sua conta no Yahoo! Mail
>>  > <http://br.rd.yahoo.com/mail/taglines/mail/*http://br.mail.yahoo.com/>,
>>  > o único sem limite de espaço para armazenamento!
>>  > ------------------------------------------------------------------------
>>  >
>>  > _______________________________________________
>>  > Owasp-brazilian mailing list
>>  > Owasp-brazilian at lists.owasp.org
>>  > https://lists.owasp.org/mailman/listinfo/owasp-brazilian
>>  >
>>
>>
>>
>>
>>
>>  _______________________________________________
>>  Owasp-brazilian mailing list
>>  Owasp-brazilian at lists.owasp.org
>>  https://lists.owasp.org/mailman/listinfo/owasp-brazilian
>>
>>     

-- 
Eduardo Vianna de Camargo Neves, CISSP
http://www.linkedin.com/in/camargoneves
eduardo at camargoneves.com
http://camargoneves.com



More information about the Owasp-brazilian mailing list