Upgrade to Pro — share decks privately, control downloads, hide ads and more …

La sicurezza ai tempi dell'ASAP

La sicurezza ai tempi dell'ASAP

Perché ASAP è il male dal punto di vista della sicurezza informatica... tra l'altro.

Follow @codiceinsicuro

Paolo Perego

November 06, 2014
Tweet

More Decks by Paolo Perego

Other Decks in Technology

Transcript

  1. La sicurezza ai tempi
    dell’ASAP
    La fretta è cattiva consigliera
    Festival ICT - Milano, 6 Novembre 2014 @thesp0nge

    View full-size slide

  2. $ thesp0nge.inspect
    • Application Security Specialist
    • Codesake::Dawn e
    wordstress project leader
    • technical blogger at https://
    codiceinsicuro.it
    • Papà && Marito && atleta di
    Taekwon - do ITF
    • Odia la parola ASAP

    View full-size slide

  3. As Soon As Possible

    View full-size slide

  4. La buona progettazione non è un
    lusso

    View full-size slide

  5. Ma noi lo vogliamo ASAP
    • Mancanza di strategia: non so
    quello che voglio, ma lo voglio
    ora
    • Cost saving: team non senior
    con poca esperienza e senza
    attitudine a lavorare sotto
    stress
    • Time saving: troppi requisiti +
    troppo codice da scrivere +
    poco tempo = 0 test
    https://flic.kr/p/7qaTZM

    View full-size slide

  6. Roma non è stata costruita in
    un giorno
    • Perché lo voglio ASAP?
    • So cosa voglio?
    • Conosco l’effort necessario
    per realizzarlo?
    https://flic.kr/p/4RqnXP

    View full-size slide

  7. Il potere di dire no!
    • Approccio agile alla
    realizzazione di un prodotto
    • Realizzare le funzionalità
    principali e poi man mano
    aggiungere solo quello
    strettamente necessario
    • Non cadere nella tentazione
    di fare tutto
    https://flic.kr/p/8xs5cc

    View full-size slide

  8. Perché non farlo ASAP?

    View full-size slide

  9. http://www.idtheftcenter.org/images/breach/DataBreachReports_2014.pdf

    View full-size slide

  10. Secure As Soon As
    Possible
    Ovvero, con raziocinio

    View full-size slide

  11. SASAP I - Essere consapevoli
    • Sensibilizzare gli
    stakeholder sul rischio di
    non eseguire test di security
    • “Non siamo una banca” non
    è una scusa; potete essere
    sotto attacco proprio ora
    • La sicurezza è nel business
    e nei processi, la tecnologia
    è secondaria
    https://flic.kr/p/3k4LEN

    View full-size slide

  12. SASAP II - Formazione agli
    sviluppatori
    • Linee guida di sviluppo sicuro
    • Come implemento la
    cifratura?
    • Che algoritmo di hashing
    scelgo?
    • Come si implementa un reset
    password?
    • …
    https://flic.kr/p/bWLxnw

    View full-size slide

  13. SASAP III - Automatizzare
    • Meno intervento umano =
    Meno delay = ASAP (sicuro)
    • Molte parti del SSDLC si
    possono automatizzare
    • Concentro i punti di test
    manuale nei momenti critici
    e per funzionalità core
    https://flic.kr/p/i9onV9

    View full-size slide

  14. SASAP IV - I voti
    • Do dei voti con in scala da A ad F
    per
    • livello di sicurezza perimetrale
    (threat modeling)
    • livello di sicurezza infrastrutturale
    (vulnerability management)
    • livello di sicurezza applicativa
    (code review)
    • livello di sicurezza applicativa
    (penetration test)
    http://img.wikinut.com/img/1x91f0yehycqs2ie/jpeg/0/grade-F.jpeg

    View full-size slide

  15. Caso di studio: mettere
    online wordpress e dormire
    la notte

    View full-size slide

  16. Caso di studio: cosa proteggo
    • Il business vuole mettere
    online un sito basato su
    wordpress
    • Tra due giorni
    • Vediamo perché dormirò
    tranquillo…
    https://flic.kr/p/8Up8qK

    View full-size slide

  17. Caso di studio: Threat model
    • Intervisto lo stakeholder
    • Censisco i flussi applicativi
    • Disegno dove sono i server,
    i DB, i FW perimetrali, i WAF
    • Indico i protocolli utilizzati
    • (non è una parte
    automatizzabile)
    https://flic.kr/p/fkJPh

    View full-size slide

  18. Caso di studio: Vulnerability
    Management
    • Scelgo uno strumento di scansione
    automatica
    • Produco periodicamente un report
    con le vulnerabilità più critiche
    • Concordo la mitigazione delle
    vulnerabilità con le persone che
    gestiscono quei server
    • Questo processo porterà ad avere
    macchine gestite e sicure… nel
    tempo

    View full-size slide

  19. Caso di studio: code review
    • Un software in grado di
    eseguire una code review di
    un altro software è utopia
    • Si può automatizzare il
    calcolo di metriche, la
    ricerca di API insicure o la
    taint analysis per cercare
    cross site scripting o sql
    injection
    https://flic.kr/p/64tcvq

    View full-size slide

  20. Caso di studio: WAPT
    Uso wpscan per testare i miei wordpress per vulnerabilità legate alla
    versione di wp, ai plugin ed ai temi installati

    View full-size slide

  21. Caso di studio: WAPT
    Ho realizzato una dashboard in Rails che prende i dati dall’output di
    wpscan e presenta dati sulle scansioni

    View full-size slide

  22. Caso di studio: WAPT
    In maniera visuale ho l’andamento nel tempo delle vulnerabilità ed il
    dettaglio delle issue trovate sui miei wordpress

    View full-size slide

  23. Posso dormire tranquillo
    E tu?
    https://flic.kr/p/jZbArT

    View full-size slide