Wojciech Dworakowski

OWASP ASVS 3.0Bezpieczeństwo aplikacji

– co nowego?

Login:

OWASP Poland Chapter Leader

Kierowanie zespołem testującym bezpieczeństwo aplikacjiDoradztwo dotyczące bezpieczeństwa aplikacji i systemów

AppSec News

Bank

Co wiemy?

„Razor4 twierdzi, ze do serwerów banku dostał się pod koniec stycznia poprzez nieujawniony błąd wynikający z braku regularnych aktualizacji oprogramowania.”„wstawił odwołanie do skryptu JS umieszczonego na swoim serwerze, dzięki któremu mógł modyfikować numery rachunków na które przekazywane były przelewy klientów banku”

Co wiemy?

„Razor4 twierdzi, ze do serwerów banku dostał się pod koniec stycznia poprzez nieujawniony błąd wynikający z braku regularnych aktualizacji oprogramowania.”„wstawił odwołanie do skryptu JS umieszczonego na swoim serwerze, dzięki któremu mógł modyfikować numery rachunków na które przekazywane były przelewy klientów banku”

Przyczyna:„Dziurawy” komponent aplikacji

Bank + Telekom

Źródło: https://zaufanatrzeciastrona.pl/post/jak-zlodzieje-okradali-konta-bankowe-klientow-sieci-play/

Bank + Telekom

Źródło: https://zaufanatrzeciastrona.pl/post/jak-zlodzieje-okradali-konta-bankowe-klientow-sieci-play/

Przyczyna:Do uwierzytelnienia się do obu aplikacji wystarczyły tylko login i hasło

Instagram

Źródło: https://www.hackread.com/instagram-hacked-researcher-gets-admin-panel-access/

Przyczyna:Interfejs administracyjny dostępny z sieci publicznej

eBay

Źródło: http://www.securityweek.com/xss-flaw-exposed-ebay-users-phishing-attacks

eBay

Źródło: http://www.securityweek.com/xss-flaw-exposed-ebay-users-phishing-attacks

Przyczyna:Serwis umożliwia używanie JavaScript inline

Połączenia SSL do Facebooka

Źródło: https://www.facebook.com/notes/protect-the-graph/analyzing-forged-ssl-certificates-in-the-wild/1451429791763834/

Połączenia SSL do Facebooka

Źródło: https://www.facebook.com/notes/protect-the-graph/analyzing-forged-ssl-certificates-in-the-wild/1451429791763834/

Przyczyna:Przeglądarka nie wykryła braku HTTPS lub sfałszowanego certyfikatu

Czy w tych wypadkach developerzy nie myśleli o bezpieczeństwie?

Przecież te instytucje nie zatrudniają jednych z najlepszych specjalistów!

Czy nie było testów bezpieczeństwa?

Bezpieczeństwo aplikacji ?„Aplikacja ma opierać się atakom i przetwarzać dane w sposób bezpieczny, zgodnie zasadami dobrej praktyki.Scenariusze testów bezpieczeństwa mają odpowiadać współczesnym zagrożeniom i metodom ataków”

Czy dobrze określiliśmy co to znaczy „bezpieczeństwo”?

Co to w praktyce znaczy?

Czy da się rozliczyć taką usługę?

APPLICATION SECURITY VERIFICATION STANDARD

OWASP ASVS

• Lista wymagań lub testów dotyczących bezpieczeństwa aplikacji

• Może być używana przez architektów, programistów, testerów, specjalistów bezpieczeństwa, użytkowników końcowych w celu zdefiniowania czym jest bezpieczna aplikacja

Historia

• 2009: V 1.0 przetłumaczona na polski

• 2014: V 2.0 przetłumaczona (tylko lista)

• 2015: V 3.0

Możliwości użycia ASVS

ASVS LevelLevel 1: Minimum

Wszystkie aplikacje Podatności które są łatwe do wykrycia, z listy OWASP Top 10 lub podobnych.

Level 2: Standard

Aplikacje przetwarzające dane wrażliwe

Większość ryzyk związanych z aplikacjami

Level 3:Enchanced

Naruszenie może powodować b.duże straty

j.w. + zasady bezpiecznego projektowania

Str 14 „Applying ASVS in Practice”• Finance and Insurance• Manufacturing, professional,

transportation, technology, utilities, infrastructure, and defense

• Healthcare• Retail, food, hospitality

• Podstawa do stworzenia listy zasad bezpieczeństwa uwzględniającej specyfikę aplikacji, organizacji i platformy.

• Przed zastosowaniem wskazana jest analiza bezpieczeństwa aplikacji / procesu

• Deklaracja stosowania + rozszerzenia

img src: http://www.rmgnetworks.com/blog/bid/365859/Internal-communications-is-not-one-size-fits-all

CO NOWEGO W ASVS 3.0

Najważniejsze zmiany

• Uporządkowanie i deduplikacja• Usunięcie wymagań/testów które miały znikomy

wpływ na bezpieczeństwo• Dostosowanie do nowych technologii (REST, HTML5,

itp.)• Nowe sekcje: WebServices, Configuration• Promuje użycie zabezpieczeń, które są dostępne od

dłuższego czasu (2FA, CSP, HSTS)• Mapowanie na PCI-DSS i CVE*

* TBD

Uwierzytelnianie

Kontrola dostępu

Obsługa niezaufanych danych wejściowych

Szyfrowanie danych

Obsługa błędów i logowanie

Komunikacja

Konfiguracja HTTP

Web Services (nowy rozdział)

Konfiguracja (nowy rozdział)

• Wszystkie zmiany Appendix A• Mapowanie na PCI-DSS Appendix D• Projekty OWASP, które używają ASVS str 22

PODSUMOWANIE

Bank

Bank + Telekom

Źródło: https://zaufanatrzeciastrona.pl/post/jak-zlodzieje-okradali-konta-bankowe-klientow-sieci-play/

Instagram

Źródło: https://www.hackread.com/instagram-hacked-researcher-gets-admin-panel-access/

eBay

Źródło: http://www.securityweek.com/xss-flaw-exposed-ebay-users-phishing-attacks

Połączenia SSL do Facebooka

Źródło: https://www.facebook.com/notes/protect-the-graph/analyzing-forged-ssl-certificates-in-the-wild/1451429791763834/

Podsumowanie

• ASVS 3.0:• Wywołanie zmian– Stosowanie mechanizmów od dawna istniejących

w przeglądarkach– Dobre praktyki dotyczące architektury i

konfiguracji• Uporządkowanie wielu kwestii

Standaryzacja jest potrzebna …… ale nie rozwiązuje wszystkich problemów

Q & A

Czy można uzyskać certyfikat zgodności z ASVS?

Automatyzacja testów

Metodyka testów (blackbox vs whitebox)

• Kiedy będzie polska wersja?Zapraszamy wolontariuszy do współpracy

• Gdzie mogę zgłaszać zmiany, błędy, itp?Jak mogę się włączyć w tworzenie ASVS?https://www.owasp.org/index.php/Category:OWASP_Application_Security_Verification_Standard_Project– Email list– Github: https://github.com/OWASP/ASVS -> Issues

50

wojciech.dworakowski@owasp.org WWW: https://www.owasp.org/index.php/Poland Mailing list: https://lists.owasp.org/mailman/listinfo/owasp-poland

http://www.meetup.com/owasp-poland/

https://www.linkedin.com/groups/OWASP-Poland-8179731

@owasppoland

https://www.facebook.com/pages/OWASP-Poland-Local-Chapter