[Italian language only, sorry]
Presentazione per il security summit dove vengono illustrate le iniziative Owasp per la tematica di code review.
Viene data un'overview sulla code review guide, sul progetto Orizon e sul progetto O2
4. Ho un problema...
More and More application level issues……
Sept/Oct 2008 – SQL Injection $9,000,000 in 24 Hours
(RBS)
Business Logic Exploited in US Army Servers – May,
2009
HSBC and Barclays sites were both hit by major XSS
vulnerabilities - June 2009
The Telegraph site was exposed by a severe SQL
injection vulnerability - June 2009
“In the last five years, approximately
500 million records containing personal
identifying information of United States
residents stored in government and
corporate databases was either lost
or stolen.” - “www.identitytheft.info”
OWASP 4
Courtesy by Eoin Keary, first appeared in Owasp Belgium Day 2009
5. ... che ricorre da molto tempo ...
Eg: XSS was discovered circa 1996
Initially is was a curiosity
Evolved to an exploit
Further evolution to a worm
MySPACE- SAMMY WORM 2005, first self propagating xss worm
Wide scale problem, 13 years later!
Toolkits: Mpack, LuckySploit, ISR-Evilgrade etc
Attacking the client: Phisihing, Malware Upload
Ironically easy to fix and detect but 60%-70% of sites
are vulnerable..
OWASP 5
Courtesy by Eoin Keary, first appeared in Owasp Belgium Day 2009
6. ... e per il quale la soluzione non è banale.
Budget IT // security
non adeguati
indirizzati alla sicurezza perimetrale
dedicati a costose soluzioni commerciali
Mentalità
eterno conflitto “security guys” vs “developers”
passare ad un SSDLC significa cambiare modo di lavorare
Know-how
mettere in piedi un SSDLC non è banale
sono richieste competenze di sviluppo e di security
manca la figura dell’application security specialist
OWASP 6
8. The Owasp Code review guide
Project leader: Eoin Keary
Progetto nato nel 2005
Punto di riferimento per la tematica di
sicurezza legata al codice
Indirizza
come effettuare una revisione del codice
quali i pattern da cercare
quali i tool da utilizzare
Secondo libro Owasp più venduto nel
2008
OWASP 8
9. Perché fare una code review
Perché un controllo a run-time (dicasi penetration
test)
non valuta bene la business logic dell’applicazione
poco efficace di fronte ad applicazioni complesse
identifica il sintomo del problema ma non la causa
mi dice che ho la vulnerabilità X
non mi dice in che punto del codice introduco la vulnerabilità X
Approccio duplice
automatico
manuale
OWASP 9
10. Code review automatica
Pro
accurata nell’identificare anomalie nel codice
in grado di evidenziare problemi legati alla qualità del
codice
Contro
non sempre il codice è disponibile
legato all’approccio usato dai tool commerciali
legato all’utilizzo di librerie di terze parti
enorme mole di falsi positivi
enorme
– enorme
» enorme
» (no, non mi sono addormentato sulla tastiera :-))
OWASP 10
11. Code review manuale
Pro
rileva
problemi di business logic
backdoor
problemi legati alla privacy e come i dati sono trattati
efficace a livello tecnologico tanto quanto la code review
automatica
mitiga il numero di falsi positivi
Contro
attività time-consuming e costosa
spesso si fa una revisione manuale solo di applicazioni business critical
necessita di skill adeguate
codice scritto male può essere difficile o impossibile da rivedere
OWASP 11
12. Ehi... ma ho comprato un tool di analisi statica
che...
La sola analisi dinamica è debole verso
applicazioni senza i dovuti controlli di security
niente controlli = niente codice da revisionare
niente codice = nessun finding da parte del tool
nessun finding = applicazione sicura
controlli di tipo matematico
gestione degli overflow numerici
conversione tra unità di misura differenti
funzionalità con precisi vincoli di policy
password policy
OWASP 12
14. Owasp Orizon Project 2.0
Project leader: Paolo Perego
Progetto
nato nel 2006
revisionato profondamente nel 2009
in attesa di definitiva incarnazione nel 2010
La versione 2.0 “dovrebbe” essere rilasciata a Giugno durante
l’Owasp AppSEC conference a Stoccolma
Highlight
scritto in Java
+29.000 linee di codice (commenti inclusi) per la versione 1.39
svn co https://orizon.svn.sourceforge.net/svnroot/orizon orizon
download it
read it
love it
OWASP 14
16. Owasp Orizon Project 2.0
Pro
analizza il codice sorgente
(i tool commerciali analizzano l’equivalente compilato)
l’analisi non è influenzata dalle scelte di ottimizzazione del
compilatore
la mancata presenza di librerie di terze parti non inficia l’analisi
supporto per vari linguaggi di programmazione
Contro
difficile da utilizzare
limitata libreria di pattern di programmazione insicura
scarsa documentazione
OWASP 16
17. Owasp O2 Platform Project
Project leader: Dinis Cruz
Progetto nato nel 2008
Si appoggia su diversi motori di scansione
commerciali
IBM Rational AppScan Source edition (aka Ounce)
Fortify
opensource
codecrawler
yasca
CAT.NET
Findbugs
Ha lo scopo di aiutare un revisore di codice a tener traccia
del flusso delle variabili e dell’esecuzione del programma
della propagazione dei pattern d’attacco all’interno della logica
applicativa
OWASP 17