Este documento discute las realidades y mitos de la seguridad en Java. Explica que aunque Java tuvo vulnerabilidades en el pasado debido a su amplia adopción, Oracle ha tomado medidas como actualizaciones críticas regulares, un nuevo jefe de seguridad y un grupo de seguridad en OpenJDK. También recomienda mantenerse al día con las actualizaciones, conocer los modelos de seguridad de Java y utilizar bibliotecas probadas como Spring Security para desarrollar de forma segura.

1. Mitos y realidades de la seguridad en Java
Vctor Orozco
Nabenik
11 de octubre de 2014

2. Disertativa sin codigo

7. Porque fue importante?

10. Aumento de la super

11. cie de ataque.
Write (a exploit) once, run (it)
everywhere.

12. Javas
Java Card
Java ME (BD-J, dumbphones)
Java SE (Escritorio, Applets)
Java EE (Web, SOA, personas con corbata)

13. Y que paso desde entonces?

14. Acciones
Nuevo modelo de lanzamientos
Limited updates (actualizaciones) - multiplos de 20
Critical patch updates - Impares en multiplos de 5
8u20 8u25 8u31 8u35 8u40 8u45 8u50
Nuevo jefe de seguridad -
http://www.securitycurmudgeon.com/2014/04/spotlight-
on-java-se-8-security.html
Grupo de seguridad en OpenJDK -
http://openjdk.java.net/groups/security/
Nuevo security track a partir de JavaOne 2013

15. http://java-0day.com/ 11-10-2014

16. Como debo protegerme?

18. -1. Evitar pentesting king/kids

20. 0. Conociendo NUESTRO java

21. Javas
HotSpot (Oracle)
JRockit (Oracle)
OpenJDK (Oracle)
Jikes (Eclipse)
HP-UX Java (HP)
J9 (IBM)
Zing (Azul Systems)
Zulu (Azul Systems+OpenJDK)

22. 1. (Intentar)Ir a la velocidad de los
atacantes

23. Recursos
CVE - http:
//web.nvd.nist.gov/view/vuln/search-results?
query=javasearch_type=allcves=on
Oracle Software Security Assurance -
https://blogs.oracle.com/security/
Debian Advisories -
https://www.debian.org/security/
RedHat Advisories - https:
//access.redhat.com/security/updates/advisory

24. 2. Conociendo los modelos de
seguridad de Java

25. Autenticacion, autorizacion,
sandboxing y

26. rmado de codigo.

27. Modelo JavaSE

28. Modelo JavaEE
Declarativa
Basado en el contenedor
Modelo de autenticacion - Credenciales, OpenID
Modelo de autorizacion - Basado en roles
Programatica
EJBContext
HttpServletRequest

29. 3. Programando de forma segura

30. Buenas practicas de programacion
Seguridad = Requerimiento funcional
Identi

31. cacion y correccion de riesgos
Patrones de seguridad (reduccion de super

32. cie de ataque,
privilegios mnimos, defensa en profundidad)
Documentacion de auditorias

33. 4. Desplegando de forma segura

34. Despliegues seguros
Maven central - http://www.infoq.com/news/2014/
08/Maven-SSL-Default
Server JRE -
http://www.oracle.com/technetwork/java/
javase/7u21-relnotes-1932873.html#serverjre

35. 5. Utilizando soluciones ya probadas

36. OWASP Java Enterprise Security API
Tipo: Biblioteca
Modo de uso: Programatico
Caractersticas principales:
Criptografa,

37. ltros, reglas de
validacion, tags JSP, rutinas
seguridad

38. OWASP Java Encoder
Tipo: Biblioteca
Modo de uso: Programatico
Caractersticas principales:
XSS