[Owasp-brazilian] Res: 90% of public websites are vulnerable to attack]

Myke mykesh at gmail.com
Wed Mar 26 09:44:26 EDT 2008


Eduardo,

Não tenho encontrado muita dificuldade em "vender" o pen test.
Mas é exatamente como você disse, se tentaram invadir e foi corrigido,
se tem a impressão de que "agora está seguro" (a maldita falsa
sensação de segurança).

Tá aí um artigo p/ se escrever, a importância do processo de
monitoração em ambientes web ........

sds

Myke

2008/3/26 Eduardo V. C. Neves <eduardo at camargoneves.com>:
> Myke,
>
>  O pen-test é uma ótima solução, mas posso te afirmar que se ele é
>  difícil de ser vendido para os clientes, mais ainda é o processo de
>  monitoração. Afinal, se já tentaram invadir e corrigimos o problema,
>  'tá' bom né?
>
>  Este é o raciocínio que precisamos mudar, em todos os lugares e do
>  técnico iniciante até o CIO. Começar pelos bancos escolares pode ser uma
>  boa idéia, não?
>
>  []s
>
>  Myke escreveu:
>
>
> > Eu vou nessa linha de raciocínio, o buraco é mais embaixo.
>  > Por mais que se teste e corrija falhas, coisas (vuln) novas sempre
>  > aparecem e não são testadas, devido ao dinamismo que a web proporciona
>  > e devido a falta de monitoração.
>  >
>  > a coisa funciona bem deste jeito:
>  > http://jeremiahgrossman.blogspot.com/2008/03/website-security-strategies-that-work.html
>  > http://jeremiahgrossman.blogspot.com/2008/03/100-secure-websites.html
>  >
>  > Muitos problemas poderiam ser resolvidos com pen test e uma monitoração.
>  > Aí entra a importância de um WAF, pois em alguns casos é complicado ou
>  > inviável mexer no código da aplicação.
>  >
>  > No mundo real é inviável por na prática todas as boas práticas (custo
>  > x benefício) para se proteger uma infra web. Em outras palavras
>  > deveria ser um pré-req fazer segurança em profundidade, pois com
>  > certeza um dia um dos controles de segurança irá falhar.
>  >
>  > sds
>  >
>  > Myke
>  >
>  >
>  >
>  > 2008/3/26 Eduardo V. C. Neves <eduardo at camargoneves.com>:
>  >
>  >> Rodrigos e pessoal,
>  >>
>  >>  Creio que é bem mais do que isto, é uma questão de custo/benefício e
>  >>  falta de entendimento do processo como um todo. É mais barato atender
>  >>  rapidamente a demanda do mercado e cuidar dos problemas depois que eles
>  >>  acontecem, do que fazer um trabalho criterioso de segurança nos produtos.
>  >>
>  >>  Em relação ao mercado brasileiro, posso afirmar por experiência própria
>  >>  que o problema citado abaixo ocorre em todos os lugares. Já vi isso
>  >>  acontecer no Brasil, México, EUA, Suíça, Inglaterra ... infelizmente só
>  >>  muda de endereço. :-)
>  >>
>  >>  O P025 OWASP Positive Security Project tentará mudar isto na fonte do
>  >>  problema. Vamos ver depois do dia 2 de abril se poderemos ir em frente
>  >>  com a iniciativa. Torço muito para que seja escolhido, pois vejo
>  >>  aspectos positivos para todas estas pessoas envolvidas no hardening de
>  >>  produtos e implementações.
>  >>
>  >>  Um abraço,
>  >>
>  >>  --
>  >>  Eduardo Vianna de Camargo Neves, CISSP
>  >>  http://www.linkedin.com/in/camargoneves
>  >>  eduardo at camargoneves.com
>  >>  http://camargoneves.com
>  >>
>  >>
>  >>  Rodrigo Moreira escreveu:
>  >>  > Isso que dá desenvolver sem uma metodologia segura auxiliando. SDL
>  >>  > (ou ao menos um "SDL lite") neles.
>  >>  > A coisa hoje em dia é brutal.
>  >>  > Navegue em um site qualquer. CSRF, XSS e SQL Injection estão por toda
>  >>  > a parte. 95% (não estou me baseando em pesquisa, é apenas uma
>  >>  > observação pessoal) dos desenvolvedores nem mesmo conhecem as flaws,
>  >>  > quanto mais se proteger.
>  >>  >
>  >>  > A Microsoft até tentou dar uma ajuda com o SQL Surface Area
>  >>  > Configuration e a proteção anti XSS do ASP.NET que vem habilitada por
>  >>  > default. O problema é que as pessoas acabam se acomodando nas
>  >>  > proteções "default", delegam a responsabilidade de segurança para o
>  >>  > fabricante do produto e esquecem que o básico é o conceito de Defesa
>  >>  > em Profundidade.
>  >>  >
>  >>  > O que sinto mesmo falta no mercado brasileiro é o povo de SI
>  >>  > trabalhando junto com os CIO's pra conscientizar que metodologia de
>  >>  > desenvolvimento seguro é essencial. Acaba que muita gente só culpa os
>  >>  > desenvolvedores pelos erros, sem analisar as circunstâncias.
>  >>  >
>  >>  > Don't blame the developers, blame the methodology
>  >>  >
>  >>  > Regards,
>  >>  > Rodrigo Moreira
>  >>  > MCP, MCTS
>  >>  > Microsoft Student Partner Co-Lead
>  >>  > http://jackflashspot.spaces.live.com
>  >>  > MSRio.Net Lead.
>  >>  >
>  >>  >
>  >>  > ----- Mensagem original ----
>  >>  > De: Alexandro Silva <penguim at ubuntu.com>
>  >>  > Para: Rodrigo Montoro (Sp0oKeR) <spooker at gmail.com>
>  >>  > Cc: owasp-brazil at lists.owasp.org; owasp-brazilian at lists.owasp.org
>  >>  > Enviadas: Terça-feira, 25 de Março de 2008 16:01:21
>  >>  > Assunto: Re: [Owasp-brazilian] 90% of public websites are vulnerable
>  >>  > to attack
>  >>  >
>  >>  > -----BEGIN PGP SIGNED MESSAGE-----
>  >>  > Hash: SHA1
>  >>  >
>  >>  > Olá,
>  >>  >
>  >>  > O grande problema é que temos servidores ( web, BDs e etc ) sendo
>  >>  > instalados nas coxas sem hardening e aplicativos sendo desenvolvidos sem
>  >>  > o minimo critério de segurança.
>  >>  >
>  >>  > Está combiação favorece esse resultado catastrófico.
>  >>  >
>  >>  > Sds,
>  >>  >
>  >>  > Alexandro Silva
>  >>  > penguim at ubutu.com <mailto:penguim at ubutu.com>
>  >>  > http://penguim.wordpress.com <http://penguim.wordpress.com/>
>  >>  >
>  >>  > Rodrigo Montoro (Sp0oKeR) wrote:
>  >>  > >    Um bom assunto pra discutirmos , até ai nada muito novo sites
>  >>  > > serem bugados, mas 90% ? Isso já eh relaxo!
>  >>  > >
>  >>  > >    Matéria: http://www.net-security.org/secworld.php?id=5939
>  >>  > >
>  >>  > >    O que acham ? Alguém aqui usa WAF (Web Application Firewall) ? Sua
>  >>  > > empresa tem alguma metodologia de desenvolvimento web para mitigar
>  >>  > > problemas ? SI e Desenvolvimento planejam junto ? Simplificando, o que
>  >>  > > fazem para mitigar esse risco de estar entre os 90% vulneráveis ?
>  >>  > >
>  >>  > >
>  >>  > > []z! Rodrigo Montoro (Sp0oKeR)
>  >>  > >
>  >>  >
>  >>  > -----BEGIN PGP SIGNATURE-----
>  >>  > Version: GnuPG v1.4.6 (GNU/Linux)
>  >>  > Comment: Using GnuPG with Mozilla - http://enigmail.mozdev.org
>  >>  > <http://enigmail.mozdev.org/>
>  >>  >
>  >>  > iD8DBQFH6UwBpAfA9N0IERwRAn6JAKDCqNpZuFEiO1r0IOAakJ1/9OShzgCguj0L
>  >>  > 0rkmbu/n46ulqz24ToCSV9A=
>  >>  > =wt8e
>  >>  > -----END PGP SIGNATURE-----
>  >>  > _______________________________________________
>  >>  > Owasp-brazilian mailing list
>  >>  > Owasp-brazilian at lists.owasp.org <mailto:Owasp-brazilian at lists.owasp.org>
>  >>  > https://lists.owasp.org/mailman/listinfo/owasp-brazilian
>  >>  >
>  >>  >
>  >>  > ------------------------------------------------------------------------
>  >>  > Abra sua conta no Yahoo! Mail
>  >>  > <http://br.rd.yahoo.com/mail/taglines/mail/*http://br.mail.yahoo.com/>,
>  >>  > o único sem limite de espaço para armazenamento!
>  >>  > ------------------------------------------------------------------------
>  >>  >
>  >>  > _______________________________________________
>  >>  > Owasp-brazilian mailing list
>  >>  > Owasp-brazilian at lists.owasp.org
>  >>  > https://lists.owasp.org/mailman/listinfo/owasp-brazilian
>  >>  >
>  >>
>  >>
>  >>
>  >>
>  >>
>  >>  _______________________________________________
>  >>  Owasp-brazilian mailing list
>  >>  Owasp-brazilian at lists.owasp.org
>  >>  https://lists.owasp.org/mailman/listinfo/owasp-brazilian
>  >>
>  >>
>
>  --
>
>
> Eduardo Vianna de Camargo Neves, CISSP
>  http://www.linkedin.com/in/camargoneves
>  eduardo at camargoneves.com
>  http://camargoneves.com
>
>


More information about the Owasp-brazilian mailing list