[Owasp-brazilian] Res: Res: 90% of public websites are vulnerable to attack]

Thiago Lechuga thiagoalz at gmail.com
Wed Mar 26 19:23:40 EDT 2008


Não concordo com vocês em uma questão:

* Por mais que se teste e corrija falhas, coisas (vuln) novas sempre
aparecem e não são testadas, devido ao dinamismo que a web proporciona
e devido a falta de monitoração.*


Desses 90% ai, 89% nem sabem o que é uma falha de segurança, os sistemas
estão com rombos ridiculamante simples de serem evitados. O Dinamismo da web
pode trazer novas falhas sim, mas o cara que está desenvolvendo não sabe nem
das antigas, quanto mais das novas que podem aparecer.
Pra mim, o problema é simples: falta de conscientização. Não tem a ver com
custos nem nada. No dia que todo mundo souber detonar um site com SQL
injection do jeito que saberia pegar o $$ da carteira que alguém deixou
largada, todo mundo também vai saber a importância de se monitorar um
sistema web. Sendo barato, caro, dinâmico ou não.

2008/3/26 Rodrigo Moreira <jackflash_rj at yahoo.com.br>:

> Eduardo,
>
>
>
> Concordo com você, principalmente no seguinte ponto:
>
> "É mais barato atender rapidamente a demanda do mercado e cuidar dos
> problemas depois que eles
> acontecem, do que fazer um trabalho criterioso de segurança nos produtos"
>
>
>
> Em minha opinião, essa é a perspectiva das empresas e aí que mora o
> perigo. Explico: no caso de uma contratação do desenvolvimento de um serviço
> internet por exemplo, os clientes acham que segurança é um bem implícito que
> já está incluído na proposta de orçamento de um projeto. Porém se a empresa
> de software adiciona o custo de um desenvolvimento seguro na sua proposta,
> ela estará fora de mercado.
>
> De um lado o cliente se "auto-engana" não pagando o custo do
> desenvolvimento seguro. De outro lado a empresa desenvolvedora engana o
> cliente com "nós temos criptografia" e "nós temos SSL". Vamos lá gente, é só
> navegar pela internet e contar quantos sites tem o selo de uma emissora de
> certificados com a frase "Site 100% seguro" logo abaixo.
>
>
>
> Quem sofre com isso é o usuário do site, já que as informações que estarão
> vulneráveis, muitas vezes serão as dele mesmo. Sabemos bem que muitos
> ataques são fácilmente evitados, e inclusive são as figurinhas de sempre do
> Top 10: Sql Injection, PHP Injection, XSS, CSRF, Session Hijacking..
>
>
>
> Myke - "No mundo real é inviável por na prática todas as boas práticas
> (custo x benefício) para se proteger uma infra web."
>
>
>
> Concordo completamente. Mas acho que uma Modelagem de Ameaças é o
> essencial. Você pode até decidir não se proteger de alguma coisa por
> decisões de custo, mas você saberá que aquilo existe e já incluirá como um
> risco do projeto..pra quê corrigir, se podemos evitar que o erro aconteça? O
> Custo de uma correção é tão maior que, como foi dito, "em alguns casos é
> complicado ou inviável mexer no código da aplicação."
>
> Por fim acredito que o caso dos 90% seja muito mais um reflexo dos
> problemas que o modelo de negócio da indústria de software possui, do
> que somente questões técnicas. Aí deixo algumas citações dessa Thread:
>
> Eduardo V. C. Neves - "Este é o raciocínio que precisamos mudar, em todos
> os lugares e do técnico iniciante até o CIO. Começar pelos bancos escolares
> pode ser uma boa idéia, não?"
>
> Myke - "Em outras palavras deveria ser um pré-req fazer segurança em
> profundidade, pois com certeza um dia um dos controles de segurança irá
> falhar."
>
>
> Regards,
> Rodrigo Moreira
> MCP, MCTS
> Microsoft Student Partner Co-Lead
> http://jackflashspot.spaces.live.com
> MSRio.Net Lead.
>
>
> ----- Mensagem original ----
> De: Eduardo V. C. Neves <eduardo at camargoneves.com>
> Para: owasp-brazilian at lists.owasp.org
> Enviadas: Quarta-feira, 26 de Março de 2008 9:14:24
> Assunto: Re: [Owasp-brazilian] Res: 90% of public websites are vulnerable
> to attack]
>
>
> Rodrigos e pessoal,
>
> Creio que é bem mais do que isto, é uma questão de custo/benefício e
> falta de entendimento do processo como um todo. É mais barato atender
> rapidamente a demanda do mercado e cuidar dos problemas depois que eles
> acontecem, do que fazer um trabalho criterioso de segurança nos produtos.
>
> Em relação ao mercado brasileiro, posso afirmar por experiência própria
> que o problema citado abaixo ocorre em todos os lugares. Já vi isso
> acontecer no Brasil, México, EUA, Suíça, Inglaterra ... infelizmente só
> muda de endereço. :-)
>
> O P025 OWASP Positive Security Project tentará mudar isto na fonte do
> problema. Vamos ver depois do dia 2 de abril se poderemos ir em frente
> com a iniciativa. Torço muito para que seja escolhido, pois vejo
> aspectos positivos para todas estas pessoas envolvidas no hardening de
> produtos e implementações.
>
> Um abraço,
>
> --
> Eduardo Vianna de Camargo Neves, CISSP
> http://www.linkedin.com/in/camargoneves
> eduardo at camargoneves.com
> http://camargoneves.com
>
>
> Rodrigo Moreira escreveu:
> > Isso que dá desenvolver sem uma metodologia segura auxiliando. SDL
> > (ou ao menos um "SDL lite") neles.
> > A coisa hoje em dia é brutal.
> > Navegue em um site qualquer. CSRF, XSS e SQL Injection estão por toda
> > a parte. 95% (não estou me baseando em pesquisa, é apenas uma
> > observação pessoal) dos desenvolvedores nem mesmo conhecem as flaws,
> > quanto mais se proteger.
> >
> > A Microsoft até tentou dar uma ajuda com o SQL Surface Area
> > Configuration e a proteção anti XSS do ASP.NET que vem habilitada por
> > default. O problema é que as pessoas acabam se acomodando nas
> > proteções "default", delegam a responsabilidade de segurança para o
> > fabricante do produto e esquecem que o básico é o conceito de Defesa
> > em Profundidade.
> >
> > O que sinto mesmo falta no mercado brasileiro é o povo de SI
> > trabalhando junto com os CIO's pra conscientizar que metodologia de
> > desenvolvimento seguro é essencial. Acaba que muita gente só culpa os
> > desenvolvedores pelos erros, sem analisar as circunstâncias.
> >
> > Don't blame the developers, blame the methodology
> >
> > Regards,
> > Rodrigo Moreira
> > MCP, MCTS
> > Microsoft Student Partner Co-Lead
> > http://jackflashspot.spaces.live.com
> > MSRio.Net Lead.
> >
> >
> > ----- Mensagem original ----
> > De: Alexandro Silva <penguim at ubuntu.com>
> > Para: Rodrigo Montoro (Sp0oKeR) <spooker at gmail.com>
> > Cc: owasp-brazil at lists.owasp.org; owasp-brazilian at lists.owasp.org
> > Enviadas: Terça-feira, 25 de Março de 2008 16:01:21
> > Assunto: Re: [Owasp-brazilian] 90% of public websites are vulnerable
> > to attack
> >
> > -----BEGIN PGP SIGNED MESSAGE-----
> > Hash: SHA1
> >
> > Olá,
> >
> > O grande problema é que temos servidores ( web, BDs e etc ) sendo
> > instalados nas coxas sem hardening e aplicativos sendo desenvolvidos sem
> > o minimo critério de segurança.
> >
> > Está combiação favorece esse resultado catastrófico.
> >
> > Sds,
> >
> > Alexandro Silva
> > penguim at ubutu.com <mailto:penguim at ubutu.com>
> > http://penguim.wordpress.com <http://penguim.wordpress.com/>
> >
> > Rodrigo Montoro (Sp0oKeR) wrote:
> > >    Um bom assunto pra discutirmos , até ai nada muito novo sites
> > > serem bugados, mas 90% ? Isso já eh relaxo!
> > >
> > >    Matéria: http://www.net-security.org/secworld.php?id=5939
> > >
> > >    O que acham ? Alguém aqui usa WAF (Web Application Firewall) ? Sua
> > > empresa tem alguma metodologia de desenvolvimento web para mitigar
> > > problemas ? SI e Desenvolvimento planejam junto ? Simplificando, o que
> > > fazem para mitigar esse risco de estar entre os 90% vulneráveis ?
> > >
> > >
> > > []z! Rodrigo Montoro (Sp0oKeR)
> > >
> >
> > -----BEGIN PGP SIGNATURE-----
> > Version: GnuPG v1.4.6 (GNU/Linux)
> > Comment: Using GnuPG with Mozilla - http://enigmail.mozdev.org
> > <http://enigmail.mozdev.org/>
> >
> > iD8DBQFH6UwBpAfA9N0IERwRAn6JAKDCqNpZuFEiO1r0IOAakJ1/9OShzgCguj0L
> > 0rkmbu/n46ulqz24ToCSV9A=
> > =wt8e
> > -----END PGP SIGNATURE-----
> > _______________________________________________
> > Owasp-brazilian mailing list
> > Owasp-brazilian at lists.owasp.org <mailto:Owasp-brazilian at lists.owasp.org>
> > https://lists.owasp.org/mailman/listinfo/owasp-brazilian
> >
> >
> > ------------------------------------------------------------------------
> > Abra sua conta no Yahoo! Mail
> > <http://br.rd.yahoo.com/mail/taglines/mail/*http://br.mail.yahoo.com/>,
> > o único sem limite de espaço para armazenamento!
> > ------------------------------------------------------------------------
> >
> > _______________________________________________
> > Owasp-brazilian mailing list
> > Owasp-brazilian at lists.owasp.org
> > https://lists.owasp.org/mailman/listinfo/owasp-brazilian
> >
>
>
>
>
>
> _______________________________________________
> Owasp-brazilian mailing list
> Owasp-brazilian at lists.owasp.org
> https://lists.owasp.org/mailman/listinfo/owasp-brazilian
>
>
> ------------------------------
> Abra sua conta no Yahoo! Mail<http://br.rd.yahoo.com/mail/taglines/mail/*http://br.mail.yahoo.com/>,
> o único sem limite de espaço para armazenamento!
>
> _______________________________________________
> Owasp-brazilian mailing list
> Owasp-brazilian at lists.owasp.org
> https://lists.owasp.org/mailman/listinfo/owasp-brazilian
>
>


-- 
Sds,
Thiago Alvarenga Lechuga
(11)8960-2177

Página Pessoal:
http://thiagoalz.googlepages.com/home
http://segurancawebbr.blogspot.com/

===Knowledge is only useful if you can share it.===
-------------- next part --------------
An HTML attachment was scrubbed...
URL: https://lists.owasp.org/pipermail/owasp-brazilian/attachments/20080326/0e62c6f0/attachment-0001.html 


More information about the Owasp-brazilian mailing list