[Owasp-brazilian] O papel do pen testing (was RE: Res: 90% of public websites are vulnerable to attack)

Myke mykesh at gmail.com
Thu Mar 27 09:33:18 EDT 2008


refazendo o e-mail anterior:

É exatamente isto que ele fala (implicito). Se a idéia do pen test for
corrigir falhas e ser utilizado como "o método" de segurança p/ um site,
seria correr atrás do próprio rabo. o pen test é só uma das maneiras p/ se
obter segurança e não um fim, assim como vc citou (mas isso vale p/
qualquer ambiente).

2008/3/27 Myke <mykesh at gmail.com>:
> Cima,
>
> É exatamente isto que ele fala (implicito). Se a idéia do pen test for
> corrigir falhas e ser utilizado como método de segurança p/ um site,
> seria correr atrás do próprio. o pen test é só uma das maneiras p/ se
> obter segurança e não um fim, assim como vc citou (mas isso vale p/
> qualquer ambiente).
>
> sds
>
> Myke
>
>
> 2008/3/27 Fernando Cima <fcima at microsoft.com>:
>
> > Oi Myke,
> >
> > O Jeremiah Grossman me parece falar de "vulnerability assessment" e não de pen test. Na nossa área a terminologia é sempre uma coisa complicada, mas acho que ele fala de um exercício para identificar os riscos e vulnerabilidades do sistema - com base nos documentos de projeto e no código fonte da aplicação - e não em um teste de penetração.
> >
> > Eu vejo o seguinte valor para os exercícios de pen testing:
> >
> > - Identificar eventuais vulnerabilidades ainda remanescentes no sistema, depois de você ter feito o seu dever de casa e usado todas as boas práticas de segurança que você considerou aplicáveis. Ele funciona como um "controle de qualidade" para o seu trabalho.
> >
> > - Fornecer feedback para o seu processo de desenvolvimento seguro. Cada vulnerabilidade encontrada no pen testing representa um ponto onde o seu processo falhou - o seu treinamento foi insuficiente, sua modelagem de ameaças não cobre um determinado tipo de risco, as práticas de desenvolvimento seguro recomendadas no seu manual não estão sendo seguidas, etc. Os resultados do pen test são então uma oportunidade de melhoria.
> >
> > Se a empresa não tem um processo de desenvolvimento seguro eu não vejo praticamente nenhum ganho em se fazer um pen testing. É *óbvio* que o sistema vai ser penetrado, provavelmente neste com uma vulberabilidade das mais grosseiras. Mas e daí, qual vai ser o resultado disso? Como estas vulnerabilidades vão ser corrigidas, se nesta altura do campeonato a correção vai custar $$$ e pode envolver uma mudança de arquitetura que seja inviável de ser feita agora? E as outras vulnerabilidades existentes, que não foram exploradas no pen testing? E mais importante, o que garante que esses erros não vão continuar a ser cometidos?
> >
> > Talvez o único ganho neste caso do pen testing seja mostrar para alguma alma incrédula o quanto a segurança está ruim e gerar algum awareness.
> >
> > Abraços,
> >
> > - Fernando Cima
> >
> >
> > >  Myke escreveu:
> > >
> > >
> > > > Eu vou nessa linha de raciocínio, o buraco é mais embaixo.
> > >  > Por mais que se teste e corrija falhas, coisas (vuln) novas sempre
> > >  > aparecem e não são testadas, devido ao dinamismo que a web proporciona
> > >  > e devido a falta de monitoração.
> > >  >
> > >  > a coisa funciona bem deste jeito:
> > >  > http://jeremiahgrossman.blogspot.com/2008/03/website-security-strategies-that-work.html
> > >  > http://jeremiahgrossman.blogspot.com/2008/03/100-secure-websites.html
> > >  >
> > >  > Muitos problemas poderiam ser resolvidos com pen test e uma monitoração.
> > >  > Aí entra a importância de um WAF, pois em alguns casos é complicado ou
> > >  > inviável mexer no código da aplicação.
> > >  >
> > >  > No mundo real é inviável por na prática todas as boas práticas (custo
> > >  > x benefício) para se proteger uma infra web. Em outras palavras
> > >  > deveria ser um pré-req fazer segurança em profundidade, pois com
> > >  > certeza um dia um dos controles de segurança irá falhar.
> > >  >
> > >  > sds
> > >  >
> > >  > Myke
> > >  >
> > >  >
> > >  >
> > >  > 2008/3/26 Eduardo V. C. Neves <eduardo at camargoneves.com>:
> > >  >
> > >  >> Rodrigos e pessoal,
> > >  >>
> > >  >>  Creio que é bem mais do que isto, é uma questão de custo/benefício e
> > >  >>  falta de entendimento do processo como um todo. É mais barato atender
> > >  >>  rapidamente a demanda do mercado e cuidar dos problemas depois que eles
> > >  >>  acontecem, do que fazer um trabalho criterioso de segurança nos produtos.
> > >  >>
> > >  >>  Em relação ao mercado brasileiro, posso afirmar por experiência própria
> > >  >>  que o problema citado abaixo ocorre em todos os lugares. Já vi isso
> > >  >>  acontecer no Brasil, México, EUA, Suíça, Inglaterra ... infelizmente só
> > >  >>  muda de endereço. :-)
> > >  >>
> > >  >>  O P025 OWASP Positive Security Project tentará mudar isto na fonte do
> > >  >>  problema. Vamos ver depois do dia 2 de abril se poderemos ir em frente
> > >  >>  com a iniciativa. Torço muito para que seja escolhido, pois vejo
> > >  >>  aspectos positivos para todas estas pessoas envolvidas no hardening de
> > >  >>  produtos e implementações.
> > >  >>
> > >  >>  Um abraço,
> > >  >>
> > >  >>  --
> > >  >>  Eduardo Vianna de Camargo Neves, CISSP
> > >  >>  http://www.linkedin.com/in/camargoneves
> > >  >>  eduardo at camargoneves.com
> > >  >>  http://camargoneves.com
> > >  >>
> > >  >>
> > >  >>  Rodrigo Moreira escreveu:
> > >  >>  > Isso que dá desenvolver sem uma metodologia segura auxiliando. SDL
> > >  >>  > (ou ao menos um "SDL lite") neles.
> > >  >>  > A coisa hoje em dia é brutal.
> > >  >>  > Navegue em um site qualquer. CSRF, XSS e SQL Injection estão por toda
> > >  >>  > a parte. 95% (não estou me baseando em pesquisa, é apenas uma
> > >  >>  > observação pessoal) dos desenvolvedores nem mesmo conhecem as flaws,
> > >  >>  > quanto mais se proteger.
> > >  >>  >
> > >  >>  > A Microsoft até tentou dar uma ajuda com o SQL Surface Area
> > >  >>  > Configuration e a proteção anti XSS do ASP.NET que vem habilitada por
> > >  >>  > default. O problema é que as pessoas acabam se acomodando nas
> > >  >>  > proteções "default", delegam a responsabilidade de segurança para o
> > >  >>  > fabricante do produto e esquecem que o básico é o conceito de Defesa
> > >  >>  > em Profundidade.
> > >  >>  >
> > >  >>  > O que sinto mesmo falta no mercado brasileiro é o povo de SI
> > >  >>  > trabalhando junto com os CIO's pra conscientizar que metodologia de
> > >  >>  > desenvolvimento seguro é essencial. Acaba que muita gente só culpa os
> > >  >>  > desenvolvedores pelos erros, sem analisar as circunstâncias.
> > >  >>  >
> > >  >>  > Don't blame the developers, blame the methodology
> > >  >>  >
> > >  >>  > Regards,
> > >  >>  > Rodrigo Moreira
> > >  >>  > MCP, MCTS
> > >  >>  > Microsoft Student Partner Co-Lead
> > >  >>  > http://jackflashspot.spaces.live.com
> > >  >>  > MSRio.Net Lead.
> > >  >>  >
> > >  >>  >
> > >  >>  > ----- Mensagem original ----
> > >  >>  > De: Alexandro Silva <penguim at ubuntu.com>
> > >  >>  > Para: Rodrigo Montoro (Sp0oKeR) <spooker at gmail.com>
> > >  >>  > Cc: owasp-brazil at lists.owasp.org; owasp-brazilian at lists.owasp.org
> > >  >>  > Enviadas: Terça-feira, 25 de Março de 2008 16:01:21
> > >  >>  > Assunto: Re: [Owasp-brazilian] 90% of public websites are vulnerable
> > >  >>  > to attack
> > >  >>  >
> > >  >>  > -----BEGIN PGP SIGNED MESSAGE-----
> > >  >>  > Hash: SHA1
> > >  >>  >
> > >  >>  > Olá,
> > >  >>  >
> > >  >>  > O grande problema é que temos servidores ( web, BDs e etc ) sendo
> > >  >>  > instalados nas coxas sem hardening e aplicativos sendo desenvolvidos sem
> > >  >>  > o minimo critério de segurança.
> > >  >>  >
> > >  >>  > Está combiação favorece esse resultado catastrófico.
> > >  >>  >
> > >  >>  > Sds,
> > >  >>  >
> > >  >>  > Alexandro Silva
> > >  >>  > penguim at ubutu.com <mailto:penguim at ubutu.com>
> > >  >>  > http://penguim.wordpress.com <http://penguim.wordpress.com/>
> > >  >>  >
> > >  >>  > Rodrigo Montoro (Sp0oKeR) wrote:
> > >  >>  > >    Um bom assunto pra discutirmos , até ai nada muito novo sites
> > >  >>  > > serem bugados, mas 90% ? Isso já eh relaxo!
> > >  >>  > >
> > >  >>  > >    Matéria: http://www.net-security.org/secworld.php?id=5939
> > >  >>  > >
> > >  >>  > >    O que acham ? Alguém aqui usa WAF (Web Application Firewall) ? Sua
> > >  >>  > > empresa tem alguma metodologia de desenvolvimento web para mitigar
> > >  >>  > > problemas ? SI e Desenvolvimento planejam junto ? Simplificando, o que
> > >  >>  > > fazem para mitigar esse risco de estar entre os 90% vulneráveis ?
> > >  >>  > >
> > >  >>  > >
> > >  >>  > > []z! Rodrigo Montoro (Sp0oKeR)
> > >  >>  > >
> > >  >>  >
> > >  >>  > -----BEGIN PGP SIGNATURE-----
> > >  >>  > Version: GnuPG v1.4.6 (GNU/Linux)
> > >  >>  > Comment: Using GnuPG with Mozilla - http://enigmail.mozdev.org
> > >  >>  > <http://enigmail.mozdev.org/>
> > >  >>  >
> > >  >>  > iD8DBQFH6UwBpAfA9N0IERwRAn6JAKDCqNpZuFEiO1r0IOAakJ1/9OShzgCguj0L
> > >  >>  > 0rkmbu/n46ulqz24ToCSV9A=
> > >  >>  > =wt8e
> > >  >>  > -----END PGP SIGNATURE-----
> > >  >>  > _______________________________________________
> > >  >>  > Owasp-brazilian mailing list
> > >  >>  > Owasp-brazilian at lists.owasp.org <mailto:Owasp-brazilian at lists.owasp.org>
> > >  >>  > https://lists.owasp.org/mailman/listinfo/owasp-brazilian
> > >  >>  >
> > >  >>  >
> > >  >>  > ------------------------------------------------------------------------
> > >  >>  > Abra sua conta no Yahoo! Mail
> > >  >>  > <http://br.rd.yahoo.com/mail/taglines/mail/*http://br.mail.yahoo.com/>,
> > >  >>  > o único sem limite de espaço para armazenamento!
> > >  >>  > ------------------------------------------------------------------------
> > >  >>  >
> > >  >>  > _______________________________________________
> > >  >>  > Owasp-brazilian mailing list
> > >  >>  > Owasp-brazilian at lists.owasp.org
> > >  >>  > https://lists.owasp.org/mailman/listinfo/owasp-brazilian
> > >  >>  >
> > >  >>
> > >  >>
> > >  >>
> > >  >>
> > >  >>
> > >  >>  _______________________________________________
> > >  >>  Owasp-brazilian mailing list
> > >  >>  Owasp-brazilian at lists.owasp.org
> > >  >>  https://lists.owasp.org/mailman/listinfo/owasp-brazilian
> > >  >>
> > >  >>
> > >
> > >  --
> > >
> > >
> > > Eduardo Vianna de Camargo Neves, CISSP
> > >  http://www.linkedin.com/in/camargoneves
> > >  eduardo at camargoneves.com
> > >  http://camargoneves.com
> > >
> > >
> > _______________________________________________
> > Owasp-brazilian mailing list
> > Owasp-brazilian at lists.owasp.org
> > https://lists.owasp.org/mailman/listinfo/owasp-brazilian
> >
>


More information about the Owasp-brazilian mailing list