[Owasp-brazilian] Res: Res: 90% of public websites are vulnerable to attack]

Rodrigo Montoro (Sp0oKeR) spooker at gmail.com
Wed Mar 26 20:09:57 EDT 2008


     Eu enumaria o seguinte:

1-) Hoje em dia é MTO facil fazer loja em PHP por exemplo, o que criar
pseudo programadores PHP, pois o cliente nao tem na maioria das vezes
consciencia de seguranca, unico ponto que ve é funcionalidade, se ele
clica e funciona, pra ele ta bom e finalizado.

2-) Como citarem, servidores desatualizados, a velha seguranca em perimetro .

3-) No Brasil faltam acoes de divulgacao  de seguranca web (Qual
evento foca seguranca WEB mesmo? ) , e essa nossa comunidade pode ser
o comeco  dessa mudanca =)!!!

4-) Equipes de Seguranca  conversam com programadores ? Somente
grandes empresas mesmo fazem isso e mesmo assim as vezes a pressa é
mais importante e fica pra depois, depois , depois .....

5-) Como o thiago comentou, maioria desse 90% nem sabe de falhas
basicas, se os programadores rodasse ferramentas BASICAS de falhas web
free, já seria um otimo comeco, eliminaria um monte de falhas
grotescas.

E por ai vai!!!!

Por isso criamos essa comunidade não? Vamos tentar a longo prazo
mitigar ao máximo!! =)


Happy Hacking!


Rodrigo Montoro (Sp0oKeR)


2008/3/26 Thiago Lechuga <thiagoalz at gmail.com>:
> Não concordo com vocês em uma questão:
>
>
>  Por mais que se teste e corrija falhas, coisas (vuln) novas sempre
>  aparecem e não são testadas, devido ao dinamismo que a web proporciona
>  e devido a falta de monitoração.
>
>
> Desses 90% ai, 89% nem sabem o que é uma falha de segurança, os sistemas
> estão com rombos ridiculamante simples de serem evitados. O Dinamismo da web
> pode trazer novas falhas sim, mas o cara que está desenvolvendo não sabe nem
> das antigas, quanto mais das novas que podem aparecer.
>  Pra mim, o problema é simples: falta de conscientização. Não tem a ver com
> custos nem nada. No dia que todo mundo souber detonar um site com SQL
> injection do jeito que saberia pegar o $$ da carteira que alguém deixou
> largada, todo mundo também vai saber a importância de se monitorar um
> sistema web. Sendo barato, caro, dinâmico ou não.
>
> 2008/3/26 Rodrigo Moreira <jackflash_rj at yahoo.com.br>:
>
>
> >
> >
> >
> >
> >
> > Eduardo,
> >
> >
> >
> > Concordo com você, principalmente no seguinte ponto:
> >
> >
> > "É mais barato atender rapidamente a demanda do mercado e cuidar dos
> problemas depois que eles
> > acontecem, do que fazer um trabalho criterioso de segurança nos produtos"
> >
> >
> >
> > Em minha opinião, essa é a perspectiva das empresas e aí que mora o
> perigo. Explico: no caso de uma contratação do desenvolvimento de um serviço
> internet por exemplo, os clientes acham que segurança é um bem implícito que
> já está incluído na proposta de orçamento de um projeto. Porém se a empresa
> de software adiciona o custo de um desenvolvimento seguro na sua proposta,
> ela estará fora de mercado.
> >
> > De um lado o cliente se "auto-engana" não pagando o custo do
> desenvolvimento seguro. De outro lado a empresa desenvolvedora engana o
> cliente com "nós temos criptografia" e "nós temos SSL". Vamos lá gente, é só
> navegar pela internet e contar quantos sites tem o selo de uma emissora de
> certificados com a frase "Site 100% seguro" logo abaixo.
> >
> >
> >
> > Quem sofre com isso é o usuário do site, já que as informações que estarão
> vulneráveis, muitas vezes serão as dele mesmo. Sabemos bem que muitos
> ataques são fácilmente evitados, e inclusive são as figurinhas de sempre do
> Top 10: Sql Injection, PHP Injection, XSS, CSRF, Session Hijacking..
> >
> >
> >
> > Myke - "No mundo real é inviável por na prática todas as boas práticas
> (custo x benefício) para se proteger uma infra web."
> >
> >
> >
> > Concordo completamente. Mas acho que uma Modelagem de Ameaças é o
> essencial. Você pode até decidir não se proteger de alguma coisa por
> decisões de custo, mas você saberá que aquilo existe e já incluirá como um
> risco do projeto..pra quê corrigir, se podemos evitar que o erro aconteça? O
> Custo de uma correção é tão maior que, como foi dito, "em alguns casos é
> complicado ou inviável mexer no código da aplicação."
> >
> >
> > Por fim acredito que o caso dos 90% seja muito mais um reflexo dos
> problemas que o modelo de negócio da indústria de software possui, do que
> somente questões técnicas. Aí deixo algumas citações dessa Thread:
> >
> > Eduardo V. C. Neves - "Este é o raciocínio que precisamos mudar, em todos
> os lugares e do técnico iniciante até o CIO. Começar pelos bancos escolares
> pode ser uma boa idéia, não?"
> >
> > Myke - "Em outras palavras deveria ser um pré-req fazer segurança em
> profundidade, pois com certeza um dia um dos controles de segurança irá
> falhar."
> >
> >
> >
> >  Regards,
> > Rodrigo Moreira
> > MCP, MCTS
> > Microsoft Student Partner Co-Lead
> > http://jackflashspot.spaces.live.com
> > MSRio.Net Lead.
> >
> >
> >
> > ----- Mensagem original ----
> > De: Eduardo V. C. Neves <eduardo at camargoneves.com>
> > Para: owasp-brazilian at lists.owasp.org
> > Enviadas: Quarta-feira, 26 de Março de 2008 9:14:24
> > Assunto: Re: [Owasp-brazilian] Res: 90% of public websites are vulnerable
> to attack]
> >
> >
> >
> >
> > Rodrigos e pessoal,
> >
> > Creio que é bem mais do que isto, é uma questão de custo/benefício e
> > falta de entendimento do processo como um todo. É mais barato atender
> > rapidamente a demanda do mercado e cuidar dos problemas depois que eles
> > acontecem, do que fazer um trabalho criterioso de segurança nos produtos.
> >
> > Em relação ao mercado brasileiro, posso afirmar por experiência própria
> > que o problema citado abaixo ocorre em todos os lugares. Já vi isso
> > acontecer no Brasil, México, EUA, Suíça, Inglaterra ... infelizmente só
> > muda de endereço. :-)
> >
> > O P025 OWASP Positive Security Project tentará mudar isto na fonte do
> > problema. Vamos ver depois do dia 2 de abril se poderemos ir em frente
> > com a iniciativa. Torço muito para que seja escolhido, pois vejo
> > aspectos positivos para todas estas pessoas envolvidas no hardening de
> > produtos e implementações.
> >
> > Um abraço,
> >
> > --
> > Eduardo Vianna de Camargo Neves, CISSP
> > http://www.linkedin.com/in/camargoneves
> > eduardo at camargoneves.com
> > http://camargoneves.com
> >
> >
> > Rodrigo Moreira escreveu:
> > > Isso que dá desenvolver sem uma metodologia segura auxiliando. SDL
> > > (ou ao menos um "SDL lite") neles.
> > > A coisa hoje em dia é brutal.
> > > Navegue em um site qualquer. CSRF, XSS e SQL Injection estão por toda
> > > a parte. 95% (não estou me baseando em pesquisa, é apenas uma
> > > observação pessoal) dos desenvolvedores nem mesmo conhecem as flaws,
> > > quanto mais se proteger.
> > >
> > > A Microsoft até tentou dar uma ajuda com o SQL Surface Area
> > > Configuration e a proteção anti XSS do ASP.NET que vem habilitada por
> > > default. O problema é que as pessoas acabam se acomodando nas
> > > proteções "default", delegam a responsabilidade de segurança para o
> > > fabricante do produto e esquecem que o básico é o conceito de Defesa
> > > em Profundidade.
> > >
> > > O que sinto mesmo falta no mercado brasileiro é o povo de SI
> > > trabalhando junto com os CIO's pra conscientizar que metodologia de
> > > desenvolvimento seguro é essencial. Acaba que muita gente só culpa os
> > > desenvolvedores pelos erros, sem analisar as circunstâncias.
> > >
> > > Don't blame the developers, blame the methodology
> > >
> > > Regards,
> > > Rodrigo Moreira
> > > MCP, MCTS
> > > Microsoft Student Partner Co-Lead
> > > http://jackflashspot.spaces.live.com
> > > MSRio.Net Lead.
> > >
> > >
> > > ----- Mensagem original ----
> > > De: Alexandro Silva <penguim at ubuntu.com>
> > > Para: Rodrigo Montoro (Sp0oKeR) <spooker at gmail.com>
> > > Cc: owasp-brazil at lists.owasp.org; owasp-brazilian at lists.owasp.org
> > > Enviadas: Terça-feira, 25 de Março de 2008 16:01:21
> > > Assunto: Re: [Owasp-brazilian] 90% of public websites are vulnerable
> > > to attack
> > >
> > > -----BEGIN PGP SIGNED MESSAGE-----
> > > Hash: SHA1
> > >
> > > Olá,
> > >
> > > O grande problema é que temos servidores ( web, BDs e etc ) sendo
> > > instalados nas coxas sem hardening e aplicativos sendo desenvolvidos sem
> > > o minimo critério de segurança.
> > >
> > > Está combiação favorece esse resultado catastrófico.
> > >
> > > Sds,
> > >
> > > Alexandro Silva
> > > penguim at ubutu.com <mailto:penguim at ubutu.com>
> > > http://penguim.wordpress.com <http://penguim.wordpress.com/>
> > >
> > > Rodrigo Montoro (Sp0oKeR) wrote:
> > > >    Um bom assunto pra discutirmos , até ai nada muito novo sites
> > > > serem bugados, mas 90% ? Isso já eh relaxo!
> > > >
> > > >    Matéria: http://www.net-security.org/secworld.php?id=5939
> > > >
> > > >    O que acham ? Alguém aqui usa WAF (Web Application Firewall) ? Sua
> > > > empresa tem alguma metodologia de desenvolvimento web para mitigar
> > > > problemas ? SI e Desenvolvimento planejam junto ? Simplificando, o que
> > > > fazem para mitigar esse risco de estar entre os 90% vulneráveis ?
> > > >
> > > >
> > > > []z! Rodrigo Montoro (Sp0oKeR)
> > > >
> > >
> > > -----BEGIN PGP SIGNATURE-----
> > > Version: GnuPG v1.4.6 (GNU/Linux)
> > > Comment: Using GnuPG with Mozilla - http://enigmail.mozdev.org
> > > <http://enigmail.mozdev.org/>
> > >
> > > iD8DBQFH6UwBpAfA9N0IERwRAn6JAKDCqNpZuFEiO1r0IOAakJ1/9OShzgCguj0L
> > > 0rkmbu/n46ulqz24ToCSV9A=
> > > =wt8e
> > > -----END PGP SIGNATURE-----
> > > _______________________________________________
> > > Owasp-brazilian mailing list
> > > Owasp-brazilian at lists.owasp.org <mailto:Owasp-brazilian at lists.owasp.org>
> > > https://lists.owasp.org/mailman/listinfo/owasp-brazilian
> > >
> > >
> > > ------------------------------------------------------------------------
> > > Abra sua conta no Yahoo! Mail
> > > <http://br.rd.yahoo.com/mail/taglines/mail/*http://br.mail.yahoo.com/>,
> > > o único sem limite de espaço para armazenamento!
> > > ------------------------------------------------------------------------
> > >
> > > _______________________________________________
> > > Owasp-brazilian mailing list
> > > Owasp-brazilian at lists.owasp.org
> > > https://lists.owasp.org/mailman/listinfo/owasp-brazilian
> > >
> >
> >
> >
> >
> >
> > _______________________________________________
> > Owasp-brazilian mailing list
> > Owasp-brazilian at lists.owasp.org
> > https://lists.owasp.org/mailman/listinfo/owasp-brazilian
> >
> >
> >
> >
> > ________________________________
> Abra sua conta no Yahoo! Mail, o único sem limite de espaço para
> armazenamento!
> > _______________________________________________
> > Owasp-brazilian mailing list
> > Owasp-brazilian at lists.owasp.org
> > https://lists.owasp.org/mailman/listinfo/owasp-brazilian
> >
> >
>
>
>
> --
> Sds,
> Thiago Alvarenga Lechuga
> (11)8960-2177
>
> Página Pessoal:
> http://thiagoalz.googlepages.com/home
>  http://segurancawebbr.blogspot.com/
>
> ===Knowledge is only useful if you can share it.===
> _______________________________________________
>  Owasp-brazilian mailing list
>  Owasp-brazilian at lists.owasp.org
>  https://lists.owasp.org/mailman/listinfo/owasp-brazilian
>
>



-- 
===========================
Rodrigo Montoro (Sp0oKeR)
Security Analyst
SnortCP / RHCE / LPIC-I / MCSO
http://www.spookerlabs.com.br
http://www.linkedin.com/in/spooker
===========================


More information about the Owasp-brazilian mailing list