[Owasp-brazilian] Res: Res: 90% of public websites are vulnerable to attack]

Rodrigo Moreira jackflash_rj at yahoo.com.br
Wed Mar 26 10:02:02 EDT 2008


Eduardo,
 
Concordo com você, principalmente no seguinte ponto:
"É mais barato atender rapidamente a demanda do mercado e cuidar dos problemas depois que eles 
acontecem, do que fazer um trabalho criterioso de segurança nos produtos"
 
Em minha opinião, essa é a perspectiva das empresas e aí que mora o perigo. Explico: no caso de uma contratação do desenvolvimento de um serviço internet por exemplo, os clientes acham que segurança é um bem implícito que já está incluído na proposta de orçamento de um projeto. Porém se a empresa de software adiciona o custo de um desenvolvimento seguro na sua proposta, ela estará fora de mercado. 
De um lado o cliente se "auto-engana" não pagando o custo do desenvolvimento seguro. De outro lado a empresa desenvolvedora engana o cliente com "nós temos criptografia" e "nós temos SSL". Vamos lá gente, é só navegar pela internet e contar quantos sites tem o selo de uma emissora de certificados com a frase "Site 100% seguro" logo abaixo.
 
Quem sofre com isso é o usuário do site, já que as informações que estarão vulneráveis, muitas vezes serão as dele mesmo. Sabemos bem que muitos ataques são fácilmente evitados, e inclusive são as figurinhas de sempre do Top 10: Sql Injection, PHP Injection, XSS, CSRF, Session Hijacking..
 
Myke - "No mundo real é inviável por na prática todas as boas práticas (custo x benefício) para se proteger uma infra web."
 
Concordo completamente. Mas acho que uma Modelagem de Ameaças é o essencial. Você pode até decidir não se proteger de alguma coisa por decisões de custo, mas você saberá que aquilo existe e já incluirá como um risco do projeto..pra quê corrigir, se podemos evitar que o erro aconteça? O Custo de uma correção é tão maior que, como foi dito, "em alguns casos é complicado ou inviável mexer no código da aplicação."

Por fim acredito que o caso dos 90% seja muito mais um reflexo dos problemas que o modelo de negócio da indústria de software possui, do que somente questões técnicas. Aí deixo algumas citações dessa Thread:
Eduardo V. C. Neves - "Este é o raciocínio que precisamos mudar, em todos os lugares e do técnico iniciante até o CIO. Começar pelos bancos escolares pode ser uma boa idéia, não?"
Myke - "Em outras palavras deveria ser um pré-req fazer segurança em profundidade, pois com certeza um dia um dos controles de segurança irá falhar."

 
Regards,
Rodrigo Moreira
MCP, MCTS
Microsoft Student Partner Co-Lead
http://jackflashspot.spaces.live.com
MSRio.Net Lead. 



----- Mensagem original ----
De: Eduardo V. C. Neves <eduardo at camargoneves.com>
Para: owasp-brazilian at lists.owasp.org
Enviadas: Quarta-feira, 26 de Março de 2008 9:14:24
Assunto: Re: [Owasp-brazilian] Res: 90% of public websites are vulnerable to attack]

Rodrigos e pessoal,

Creio que é bem mais do que isto, é uma questão de custo/benefício e 
falta de entendimento do processo como um todo. É mais barato atender 
rapidamente a demanda do mercado e cuidar dos problemas depois que eles 
acontecem, do que fazer um trabalho criterioso de segurança nos produtos.

Em relação ao mercado brasileiro, posso afirmar por experiência própria 
que o problema citado abaixo ocorre em todos os lugares. Já vi isso 
acontecer no Brasil, México, EUA, Suíça, Inglaterra ... infelizmente só 
muda de endereço. :-)

O P025 OWASP Positive Security Project tentará mudar isto na fonte do 
problema. Vamos ver depois do dia 2 de abril se poderemos ir em frente 
com a iniciativa. Torço muito para que seja escolhido, pois vejo 
aspectos positivos para todas estas pessoas envolvidas no hardening de 
produtos e implementações.

Um abraço,

-- 
Eduardo Vianna de Camargo Neves, CISSP
http://www.linkedin.com/in/camargoneves
eduardo at camargoneves.com
http://camargoneves.com


Rodrigo Moreira escreveu:
> Isso que dá desenvolver sem uma metodologia segura auxiliando. SDL 
> (ou ao menos um "SDL lite") neles.
> A coisa hoje em dia é brutal.
> Navegue em um site qualquer. CSRF, XSS e SQL Injection estão por toda 
> a parte. 95% (não estou me baseando em pesquisa, é apenas uma 
> observação pessoal) dos desenvolvedores nem mesmo conhecem as flaws, 
> quanto mais se proteger.
>  
> A Microsoft até tentou dar uma ajuda com o SQL Surface Area 
> Configuration e a proteção anti XSS do ASP.NET que vem habilitada por 
> default. O problema é que as pessoas acabam se acomodando nas 
> proteções "default", delegam a responsabilidade de segurança para o 
> fabricante do produto e esquecem que o básico é o conceito de Defesa 
> em Profundidade.
>  
> O que sinto mesmo falta no mercado brasileiro é o povo de SI 
> trabalhando junto com os CIO's pra conscientizar que metodologia de 
> desenvolvimento seguro é essencial. Acaba que muita gente só culpa os 
> desenvolvedores pelos erros, sem analisar as circunstâncias.
>  
> Don't blame the developers, blame the methodology
>  
> Regards,
> Rodrigo Moreira
> MCP, MCTS
> Microsoft Student Partner Co-Lead
> http://jackflashspot.spaces.live.com
> MSRio.Net Lead.
>
>
> ----- Mensagem original ----
> De: Alexandro Silva <penguim at ubuntu.com>
> Para: Rodrigo Montoro (Sp0oKeR) <spooker at gmail.com>
> Cc: owasp-brazil at lists.owasp.org; owasp-brazilian at lists.owasp.org
> Enviadas: Terça-feira, 25 de Março de 2008 16:01:21
> Assunto: Re: [Owasp-brazilian] 90% of public websites are vulnerable 
> to attack
>
> -----BEGIN PGP SIGNED MESSAGE-----
> Hash: SHA1
>
> Olá,
>
> O grande problema é que temos servidores ( web, BDs e etc ) sendo
> instalados nas coxas sem hardening e aplicativos sendo desenvolvidos sem
> o minimo critério de segurança.
>
> Está combiação favorece esse resultado catastrófico.
>
> Sds,
>
> Alexandro Silva
> penguim at ubutu.com <mailto:penguim at ubutu.com>
> http://penguim.wordpress.com <http://penguim.wordpress.com/>
>
> Rodrigo Montoro (Sp0oKeR) wrote:
> >    Um bom assunto pra discutirmos , até ai nada muito novo sites
> > serem bugados, mas 90% ? Isso já eh relaxo!
> >
> >    Matéria: http://www.net-security.org/secworld.php?id=5939
> >
> >    O que acham ? Alguém aqui usa WAF (Web Application Firewall) ? Sua
> > empresa tem alguma metodologia de desenvolvimento web para mitigar
> > problemas ? SI e Desenvolvimento planejam junto ? Simplificando, o que
> > fazem para mitigar esse risco de estar entre os 90% vulneráveis ?
> >
> >
> > []z! Rodrigo Montoro (Sp0oKeR)
> >
>
> -----BEGIN PGP SIGNATURE-----
> Version: GnuPG v1.4.6 (GNU/Linux)
> Comment: Using GnuPG with Mozilla - http://enigmail.mozdev.org 
> <http://enigmail.mozdev.org/>
>
> iD8DBQFH6UwBpAfA9N0IERwRAn6JAKDCqNpZuFEiO1r0IOAakJ1/9OShzgCguj0L
> 0rkmbu/n46ulqz24ToCSV9A=
> =wt8e
> -----END PGP SIGNATURE-----
> _______________________________________________
> Owasp-brazilian mailing list
> Owasp-brazilian at lists.owasp.org <mailto:Owasp-brazilian at lists.owasp.org>
> https://lists.owasp.org/mailman/listinfo/owasp-brazilian
>
>
> ------------------------------------------------------------------------
> Abra sua conta no Yahoo! Mail 
> <http://br.rd.yahoo.com/mail/taglines/mail/*http://br.mail.yahoo.com/>, 
> o único sem limite de espaço para armazenamento!
> ------------------------------------------------------------------------
>
> _______________________________________________
> Owasp-brazilian mailing list
> Owasp-brazilian at lists.owasp.org
> https://lists.owasp.org/mailman/listinfo/owasp-brazilian
>  





_______________________________________________
Owasp-brazilian mailing list
Owasp-brazilian at lists.owasp.org
https://lists.owasp.org/mailman/listinfo/owasp-brazilian


      Abra sua conta no Yahoo! Mail, o único sem limite de espaço para armazenamento!
http://br.mail.yahoo.com/
-------------- next part --------------
An HTML attachment was scrubbed...
URL: https://lists.owasp.org/pipermail/owasp-brazilian/attachments/20080326/ff02653f/attachment-0001.html 


More information about the Owasp-brazilian mailing list