[Owasp-brazilian] Segurança na web - Uma janela de oportunidades

Anderson Goulart global at goulart.info
Wed Apr 6 18:12:11 EDT 2011


Opa,


Em 06/04/2011, às 18:35, Eduardo V. C. Neves escreveu:

> Meus dois centavos,
> 
> Uma abordagem que pode ser pensada é desenvolver uma série de controles para que a empresa cumpra, e uma contra partida para gerar a evidência necessária de que isto foi feito. Com isso, é possível atender os dois lados, afinal quantos de nós já não vimos:
> 

Algo como o COBIT e ISOs fazem é uma idéia interessante. 

> - Um software ser comprometido pela forma como foi implementado
> - A arquitetura empregada destruir qualquer chance de segurança no software
> - A administração do todo - incluindo aqui os famosos "faz agora que depois vemos"- criar um cenário de caos para a proteção do software
> 
> Porém, colocar isso em uma legislação me parece impossível e altamente sujeito a interpretação.
> 

Não há como definir controles objetivos a tal ponto que não haja interpretação (senão sua abrangência seria limitada). Mas a subjetividade já faz parte do processo jurídico e a hermenêutica traz princípios suficientes para que a interpretação seja feita "da forma correta". Não entenda isso como uma interpretação perfeita, mas sim como uma busca pela perfeição. Eu entendo que há várias decisões jurídicas contrárias a qualquer bom senso e princípio, mas isso pode ser levado para outras instâncias como a corregedoria ou CNJ. Sempre teremos problemas, mas se os reduzirmos por meio dos controles sugeridos, acredito que os sistemas já teriam uma melhora significativa. Ontem vi alguém fazer um HTML injection no site da ANP.  Uma boa normatização baseada em controles poderia evitar isso, principalmente para as vulnerabilidades mais comuns. Poderíamos ter algo como: security controls for web applications. Daí tratamos itens como sql injection, xss, etc. As empresas poderiam ser "obrigadas" a implemetar os processos e controles e, mesmo que sejam imperfeitos, se aplicados, poderiam isonerá-los da culpa. Caso se detecte que a empresa não implantou os devidos processos, ela não cairia na negligência (omissão de fazer). 

Resumo: a empresa estaria ciente dos processos e controles de segurança, aplicaria da melhor forma possível e, caso seja mesmo detectada uma falha, a resposta é simples: acidentes acontecem. É o mesmo princípio do seguinte: você anda numa via, respeita a velocidade, seu carro está regular com as luzes indicadoras e mecanismos de segurança, sua carteira está em dia e mesmo assim aparece um maluco que pula na sua frente e você o atropela. Você responderá o processo, mas dificilmente será culpado do ocorrido. 

Abraços, global


> []s
> 
> - Eduardo
> 
> 
> On Apr 6, 2011, at 6:22 PM, Leonardo Buonsanti wrote:
> 
>> Eu não li o documento ainda. Lerei.
>> 
>> Comecei a ler o Secrets & Lies do Bruce "eu ñ vou pro appsec" Schneier hoje e logo no começo ele fala disso. Liability para softwares com problemas de segurança. Tem a ver?
>> 
>> Abs.
>> 
>> 2011/4/6 Thiago Zaninotti <thiago at zaninotti.net>
>> To pegando o bonde andando mas vou meter o bedelho (aproveitando os 5 minutos do café): 
>> 
>> Nossa legislação é bastante arrojada no assunto mas, como todos sabem, o mecanismo do processo é bem moroso. Geralmente o defeito precisa ser comprovado por perícia técnica contratada pelas partes. É preciso comprovar o dolo. 
>> 
>> Em um caso hipotético, é preciso comprovar que uma cópia não controlada de um buffer de usuário para um buffer estático na aplicação foi feita de maneira intencional. Em muitos casos, o código-fonte está sob proteção supranacional e a comprovação fica tecnicamente inviável. 
>> 
>> O legislador teve uma pretensão nobre, contudo, no mundo real as coisas são um pouco diferentes (tecnica e economicamentes).
>> 
>> Thiago Zaninotti,Security+,CISSP-ISSAP,CISM,CSSLP
>> Restless Infosec & C/C++ Engineer
>> 
>> 
>> 
>> 2011/4/6 Lucas Ferreira <lucas.ferreira at owasp.org>
>> Zucco,
>> 
>> nenhum produto é perfeito. Por exemplo, se há defeito em um carro que
>> comprometa sua segurança, o fabricante é responsável. Por que o
>> fabricante de software não pode ser responsabilizado por falhas em seu
>> produto?
>> 
>> Inté,
>> 
>> Lucas
>> 
>> 2011/4/6 Jeronimo Zucco <jczucco at gmail.com>:
>> >   Sob esse ponto de vista, somente softwares perfeitos podem ser
>> > escritos. Softwares são feitos por seres humanos, como garantir que
>> > não exista um problema de segurança ? Definindo um baseline de
>> > segurança mínimo ?
>> >
>> > --
>> > Jeronimo Zucco
>> > http://jczucco.blogspot.com
>> >
>> >
>> > Em 6 de abril de 2011 15:01, Lucas Ferreira <lucas.ferreira at owasp.org> escreveu:
>> >> Ambos, solidária e objetivamente.
>> >>
>> >> 2011/4/6 Fernando Cima (SCOE) <fcima at microsoft.com>:
>> >>> Perfeito, então todos os desenvolvedores de software, independente do modelo de licença, seriam responsabilizados civilmente por defeitos de segurança.
>> >>> Fica a questão sobre quem seria responsabilizado, o distribuidor do software ou o dono do copyright (i.e. autor).
>> >>>
>> >>>
>> >>> -----Original Message-----
>> >>> From: lucas.ferreira at gmail.com [mailto:lucas.ferreira at gmail.com] On Behalf Of Lucas Ferreira
>> >>> Sent: Wednesday, April 06, 2011 2:37 PM
>> >>> To: owasp-brazilian at lists.owasp.org; Owasp-brazilian-leaders at lists.owasp.org
>> >>> Cc: Fernando Cima (SCOE)
>> >>> Subject: Re: [Owasp-brazilian] Segurança na web - Uma janela de oportunidades
>> >>>
>> >>> Sobre a polêmica abaixo, conversei com um amigo advogado e a questão é
>> >>> mais simples do que parece. Caso a legislação proíba as licenças de
>> >>> software de isentar os fabricantes de responsabilidade com a segurança
>> >>> de seus produtos, as cláusulas que afirmarem o contrário serão
>> >>> consideradas ilegais, mas apenas elas.
>> >>>
>> >>> Ou seja, as licenças não seriam inválidas mas apenas as clausulas
>> >>> específicas que forem contrárias à lei, eliminando a necessidade de
>> >>> relicenciamento ou de mudança de licença.
>> >>>
>> >>> Inté,
>> >>>
>> >>> Lucas
>> >>>
>> >>>
>> >>>
>> >>> 2011/4/4 Fernando Cima (SCOE) <fcima at microsoft.com>:
>> >>>>> > "Eliminar licenças de software que isentam os fabricantes da responsabilidade com a segurança de seus produtos"
>> >>>>> > Você está ciente que isto inclui *todas* as licenças de software existentes hoje, correto?
>> >>>>>
>> >>>>> Sim
>> >>>>
>> >>>> Ok, então esteja ciente das consequências disto, em especial para os projetos colaborativos. Por exemplo, todas as licenças 'open source' contém uma cláusula que exclui qualquer responsabilidade dos autores por danos diretos, indiretos, incidentais, etc. Para se relicenciar o software é necessário que todos os titulares de copyright concordem com a mudança na licença. Em alguns projetos é exigido que o copyright de qualquer contribuição seja atribuído ao coordenador do projeto (prática adotada por exemplo pela Free Software Foundation), em outros isto não ocorre e podem existir até milhares de pessoas com copyright em partes do código, caso do Linux por exemplo. Sugerir uma mudança da licença nestes casos é algo virtualmente impossível.
>> >>>>
>> >>>
>> >>>
>> >>>
>> >>>
>> >>>
>> >>> --
>> >>> Homo sapiens non urinat in ventum.
>> >>>
>> >>>
>> >>
>> >>
>> >>
>> >> --
>> >> Homo sapiens non urinat in ventum.
>> >> _______________________________________________
>> >> Owasp-brazilian mailing list
>> >> Owasp-brazilian at lists.owasp.org
>> >> https://lists.owasp.org/mailman/listinfo/owasp-brazilian
>> >>
>> >
>> 
>> 
>> 
>> --
>> Homo sapiens non urinat in ventum.
>> _______________________________________________
>> Owasp-brazilian mailing list
>> Owasp-brazilian at lists.owasp.org
>> https://lists.owasp.org/mailman/listinfo/owasp-brazilian
>> 
>> 
>> _______________________________________________
>> Owasp-brazilian mailing list
>> Owasp-brazilian at lists.owasp.org
>> https://lists.owasp.org/mailman/listinfo/owasp-brazilian
>> 
>> 
>> 
>> 
>> -- 
>> Leonardo Buonsanti
>> _______________________________________________
>> Owasp-brazilian mailing list
>> Owasp-brazilian at lists.owasp.org
>> https://lists.owasp.org/mailman/listinfo/owasp-brazilian
> 
> _______________________________________________
> Owasp-brazilian mailing list
> Owasp-brazilian at lists.owasp.org
> https://lists.owasp.org/mailman/listinfo/owasp-brazilian

-------------- next part --------------
An HTML attachment was scrubbed...
URL: https://lists.owasp.org/pipermail/owasp-brazilian/attachments/20110406/fda1452e/attachment-0001.html 


More information about the Owasp-brazilian mailing list