Deserialization + (Metaprogramming || DuckTyping) // Vulnerabilidades no mundo Ruby

Transcript

1. Deserialization + (Metaprogramming || DuckTyping) Vulnerabilidades no mundo Ruby Carlos

   Eduardo L. Lopes @_carloslopes

2. Sumário û  O que aconteceu? û  Como os parser YAML

   e JSON funcionam û  Porque as vulnerabilidades são tão ruins û  Como elas causam dano û  Como podemos evitar os danos û  O que mais podemos fazer? û  Ferramentas que podemos usar

3. O que aconteceu? û  A ML do grupo de segurança

   do RoR foi atualizada û  Vulnerabilidades de parameters parsing û  CVE-2013-0156 û  CVE-2013-0269 û  E outras variações (mas com o mesmo princípio) û  Ok, mas eu estou seguro se não estiver usando Rails?

4. Como o YAML parser funciona

5. Como o YAML parser funciona

6. Como o YAML parser funciona

7. Como o YAML parser funciona

8. Como o YAML parser causa danos

9. Como o YAML parser causa danos

10. û  Você pode instanciar qualquer classe no processo û  Você

    pode disparar o método #[]= û  Você pode brincar com metaprogramação û  E... Porque isto é tão ruim?

11. “More than 240,000 websites that use Ruby on Rails Web

    applications are at risk of being exploited by attackers. Including Basecamp, Github, Hulu, Pitchfork, Scribd and Twitter.” Porque isto é tão ruim? Fonte: http://www.informationweek.com/security/vulnerabilities/critical-ruby-on-rails-issue-threatens-2/240145891

12. “It will work 100% of the time.” Porque isto é

    tão ruim? Fonte: http://arstechnica.com/security/2013/01/extremely-crtical-ruby-on-rails-bug-threatens-more-than-200000-sites/

13. YAML + Rails

14. YAML + Rails

15. YAML + Rails

16. YAML + Rails

17. YAML + Rails

18. YAML + Rails

19. Como nós podemos evitar isso? û  Não confie e nem

    leia dados YAML 'desconhecidos', ou... û  Quando não estiver usando Rails û  Use a gem safe_yaml û  Quando estiver usando RoR û  Use a versão >= 3.2.11, ou... û  Desabilite o XML parser (porque não fez isso antes?), ou... û  Desabilite o YAML parser û  Rails 4 não virá com o XML parser out of the box!

20. Como o JSON parser funciona

21. Como o JSON parser funciona

22. Como o JSON parser funciona

23. Como o JSON parser funciona

24. Como o JSON parser funciona

25. Porque isto é tão ruim? û  Você pode criar objetos

    falsos (como mocks) û  Você pode simular comportamentos û  Você pode brincar com DuckTyping

26. Porque isto é tão ruim? û  Você pode criar objetos

    falsos (como mocks) û  Você pode simular comportamentos û  Você pode brincar com DuckTyping

27. JSON + ActiveRecord

28. JSON + ActiveRecord

29. JSON + ActiveRecord

30. JSON + ActiveRecord

31. JSON + ActiveRecord

32. Como podemos evitar isso? û  Parseie dados JSON com a

    opção :create_additions => false û  A gem json versão >= 1.7.7 está fazendo isso por default û  A gem multi_json gem sempre fez isso û  E eu não sei sobre as outras engines :(

33. Exemplo :create_additions

34. None

35. O que mais podemos fazer? û  Nunca confiar em dados

    passados pelo usuário û  Não rodar nossas aplicações com usuários privilegiados û  Estar sempre ligado no que acontece û  Sempre usar as últimas versões estáveis (leia seguras)

36. Ferramentas que podemos usar û  Brakeman – Rails Security Scanner

    û  Code Climate Security Monitor (baseado no Brakeman) û  Gemcanary (atualmente em beta) û  bundler-audit, holepicker e outras gems

37. Ask all the questions

38. Deserialization + (Metaprogramming || DuckTyping) Vulnerabilidades no mundo Ruby Carlos

    Eduardo L. Lopes @_carloslopes