Este documento discute varios factores que contribuyen a que los desarrolladores produzcan código inseguro, incluyendo factores técnicos, psicológicos y del mundo real como la presión por producir rápidamente. También recomienda formas de abordar este problema a través de la educación, herramientas y mejores prácticas de seguridad como considerar conceptos de seguridad desde el inicio del desarrollo de software.

1. Developers: Ignorance is… bliss?
Cristián Rojas, CSSLP
CLCERT Universidadde Chile

2. About: Cristián Rojas
●
Ingeniero Civil en
Computación y Tesista MSc-
CS DCC-UCHILE
●
Múltiples funciones en
INFOSEC:
– Mercenario-Consigliere
– Profesor-Instructor
– Investigador (CLCERT-UCHILE)
●
ISC2 Certified Secure Software
Lifecycle Professional (CSSLP)
●
INFOSEC-Privacy-Kittehs-
Beer Geek Foto: 8.8 Security Conference 2015. Meme: @RobertoRiquelme

3. Foto: 8.8 Security Conference 2015
Ya, ¿ahora sí?

4. Vulnerabilidades

5. Violación del principio de privilegio mínimo
●
Abuso de permisos en apps móviles
– Si tu app es para iluminar con el flash de la
cámara ¿necesitas permisos para acceder a
contactos, GPS, SMS, etc?
●
GRANT ALL PRIVILEGES ON my_db to
user;

6. Código de Debugging/Logging Abandonado
●
phpinfo.php
●
Código TRACE
abandonado
●
Builds generados en
modo Debug
●
Exceso de logging
– A veces con
información sensible

7. I want your SK now,
Mr. Anderson.
SHA1
RC4
Mala configuración SSL/TLS

9. Mal uso de cifrado en Reposo
●
ENCRYPT ALL THE THINGS!!!
●
Ya, pero…
– ¿Qué tipo de encriptación vas a usar?
– ¿Qué llave de cifrado?
●
Hardcodeadas
●
Basadas en información fácil de obtener
●
Algoritmos criptográficos tejidos en casa
– “Super-encriptación”

10. base64(md5(AES-ECB(data, DEVICE_ID)))

12. Mal almacenamiento de Passwords
●
Almacenamiento de
claves usando:
– Texto plano
– Hashes MD5
– Sin sal criptográfica
●
No conocen los KDF
– PBKDF2
– BCrypt
@cadcc

13. Exceso de confianza en secretos
●
Ocultamiento de
versiones de
servidores
●
Uso de medidas
anti-ingeniería
reversa
●
¿Eso realmente hace
más segura tu
aplicación?
Easy money!
“Terminator 2”, Tristar, 1991

14. Exceso de confianza en herramientas
●
Frameworks
– Ej. Ruby on Rails, Django, NodeJS, Android SDK,
iOS SDK, etc...
– ¿Tienen documentación de seguridad?
– “No, si el framework trae seguridad integrada. Yo
no tengo que preocuparme de nada”

15. Exceso de confianza en herramientas
●
Content Management
Systems (CMS)
– Ej. Wordpress, Drupal,
Joomla…
– ¿Qué consideraciones
de seguridad hay que
tener en cuenta?
– ¿Les hacemos un
cariñito de vez en
cuando? Eduardo Bonvallet, 1955-2015

16. Exceso de confianza en herramientas
●
Paneles de Control
– Ej. CPanel,
PHPMyAdmin
– Clásicos en servicios
de hosting
– Excesiva cantidad de
privilegios
– A menudo en
entornos HTTP sin
protección

17. Exceso de confianza en herramientas
●
“Usemos este scanner de vulnerabilidades”
(muy caro, dicho sea de paso)
– ¿Saben cómo accionar las vulnerabilidades que
reporta?
– ¿Saben cómo reconocer falsos positivos?
– ¿Son seguros para escanear ambientes de
producción?
●
La seguridad es algo que hay que pensar

18. ¿Por qué los buenos
desarrolladores hacemos
código inseguro?

19. Factores Técnicos
●
“El todo es más que
la suma de sus
partes” (NOT!)
– Más que
desarrollando,
armando Legos
●
Hay fallas que surgen
espontáneamente
¿Por qué?

20. Factores psicológicos
●
Programar es una actividad difícil y
frustrante
●
Nunca debemos confiar ciegamente en el
código de otro (ahora... anda a que alguien
llegue a desconfiar del de uno)
●
Nosotros descansamos en la abstracción...
los chicos malos se fijan en los detalles

21. Factores del mundo real
●
La fuente de nuestro
código fuente
●
El desarrollo de
software es cada día
más democrático
●
La presión de
producir, producir,
producir
– Y seguridad, ¿cuándo?

22. Factores del mundo real
●
“¿Cuándo dejarán de vendernos esta
porquería?”
– “Cuando Ustedes dejen de comprarla”
●
Muchas compañías restan importancia a
incidentes
– Anda a contactar a alguna empresa por una
vulnerabilidad que les encontraste

23. Factores del mundo real
●
Cuando aprendemos
a programar,
¿vemos conceptos
de seguridad?
– ¿En cursos?
– ¿En manuales?
– ¿En documentación?

24. Requisitos Diseño Implementación Pruebas Operación
1X 1X
7X
15X
100X
IBM Systems Sciences Institute, “Implementing Software Inspections”

25. ¿Qué podemos hacer?

26. Big Data
Cloud Computing
Mobile
Web 2.0, 3.0, 4….
Visualización
Sistemas recomendadores
Agile/Lean

27. Educación
●
¿Cursos?
– CC5315 (DCC-UCHILE)
– Taller de Seguridad Web (SPECT-UTFSM)
– NeoSecure: “Seguridad de Aplicaciones Web”
– ¿Algún otro?
●
¿Certificaciones?
– Certified Secure Software Lifecycle Professional (ISC2
CSSLP)
– Certified Software Development Professional (CSDP)

28. Educación
●
Documentación (disponible libremente)
– OWASP (Open Web Application Security Project)
●
OWASP Top 10 2013
●
Múltiple documentación online
– BSIMM-V (Build Security In Maturity Model)
– NowSecure: “42+ Best Practices for Secure iOS
and Android Development”
– CodePoet, “Locking Down Wordpress”

29. Educación
●
Libros
– McGraw, “Software Security”
– Howard, Lipner, “The Security Development
Lifecycle”
– Shostack, “Threat Modeling”
– Ristic, “Bulletproof SSL and TLS”
– Howard, LeBlanc, Viega, “24 Sins of Software
Security”

30. Herramientas
●
Configuración HTTPS
– Qualys SSL Test (online)
– Cipherscan (local)
●
Scanneres de vulnerabilidades
– OWASP ZAP
– BURP Suite
– W3AF
– wpscan (Wordpress)

31. Herramientas
●
Analizadores de seguridad en código
– Findbugs + Find Security Bugs (Java)
– JSPrime (NodeJS y otros frameworks JS)
– Brakeman (Rails)
– FXCop (.NET, desactualizada)
– PHP Code Sniffer + phpcs-security-audit

32. GRACIAS… TOTALES.
Contacto: crirojas@clcert.cl
@injenierobarsa