Collaudo e qualit del software

<Application Security Testing>

Relatore

Massimiliano Argiolu

Roma, 29 novembre 2010

La sicurezza perimetrale non pi
sufficiente

Partners Outsourcers

Web
Services

2
Gli hackers usano le
applicazioni
Hacking una scienza
consolidata:
SQL Injection
Buffer overflows
Xsite scripting
..e molte altre

3
Alcune statistiche
Spending on perimeter only strategies continues to grow,
more than doubled in 2007
Ponemon Institute Study

43% annual rise in vulnerabilities reported in major applications over the last
ten years
CERT

212 million records stolen between 20052007

Privacy Rights, Clearinghouse

A 100K record data breach could cost

between $10 and $30 million
Forrester Research

92% of vulnerabilities are in software

NIST

75% of attacks occur at the application level

Gartner
4


5
Casi reali
WHID 2008-10: Chinese hacker steals user information on 18 MILLION
online shoppers at Auction.co.kr
Reported: 12 February 2008
Occurred: 10 February 2008
Web Application Security Consortium

WHID 2008-02: Italian Bank's XSS Opportunity Seized by Fraudsters

Reported: 09 January 2008
Occurred: 08 January 2008
Web Application Security Consortium

WHID 2007-74: Web host breach may have exposed passwords for 6,000
clients
Reported: 01 January 2008
Occurred: 17 September 2007
Web Application Security Consortium

WHID 2007-79: Infamous Russian malware gang used SQL injection to

penetrate US government sites
Reported: 01 January 2008
Occurred: 09 November 2007
Web Application Security Consortium

6
Business
Evitare lisolamento del Front-End dovuto ad attacchi di hacking
Protezione degli Asset per mantenere buone relazioni con gli
altri business player
Risk management del software dato in outsourcing
Proteggere il business dagli insider/outsider traders
Monitorare che il SDLC rispetti le necessarie security
compliances

I costi totali dovuti ad una inadeguata infrastruttura

di Test del Software per I soli Servizi Finanziari
stata stimata in oltre 3,3 miliardi di $!!!
(NIST)

7
 Soluzioni stratificate

Hackers Software critico per

lerogazione dei
Business Process

Worms &
Viruses
Difese tradizionali per il
network/perimeter

Malicious
insiders 8
Le applicazioni consentono di
attraversare tutti i layer

Web Facing Apps

Integration with Legacy apps

Employee Self Service

Connectivity w partners /suppliers

9
Hackers

288 Miliardi di $ spesi

in IT Security

Network
Software

Intellectual Customer Business Corporate Trade

Property Data Processes Secrets
165 milioni di $ spesi per la
sicurezza del software: lo 0.0006%
10
del totale
Limpatto dei 288 miliardi di $

E necessario
proteggere le
applicazioni e non
solo
linfrastruttura

11
Quando applicare la sicurezza del
software?

Costo di risoluzione di una Vulnerabilit : Software Defect Reduction Top 10 List IEEE Computer Society

12
 I drivers per certificare la Sicurezza
delle Applicazioni
a nnddooImeeme
Immediati/Intrusioni subite i t qq
uua Imemeddiaiatezza
r iv
ooaattttiviturezzaavva ieipnpn lei tezza qquante
Misurazione del rischio nel
PPr e la sicicurezz eIn ae c
poplicazioioni abbia uante
a z
d o vve la s el proccesIn scsho e ni abbiam oo?
software esistente o
d licata nel p b n ro s c h e t e c n ol ologia? m ?
a ? uusiness e t ec n o
aapppplicatp o b si n e ro g
gia?
d i ssvviliulupppoa ? o aQuant ss erogaannoo??
Modifiche di e facccci iam m o catQi?uane tevvuulnlneera bbilit e
C m
oome fa i risulta h
c t
hei ?c r i t ic r a ilit e
Proattive/Sistemiche C ificare i risulqta e criticiti h a n
t hannooe n
vveer rificare quuaannto c
to costao s e
Fare un assessment del i l fi
ta il fix??x
processo di sviluppo esistente
e modificarlo di conseguenza

Compliance
CComplian
ompliancce quali
Ottenere la compliance
ddirettiv e
obbligatoria come il risultato di irettiveeaappplicaqrueali
pp.e. PCI plicare??
un processo di miglioramento .e. PCI

13
chiarificatrice
Vulnerability scan: verifica tipicamente automatizzata delle
vulnerabilit tecnologiche di uno o pi sistemi. Si usa uno o pi
software di scansione come Nessus, Retina o ISS Scanner (on the shelf)
Vulnerability assessment:verifica automatizzata e umana di tipo
glass boxdelle vulnerabilit tecnologiche e infrastrutturali di una rete.
Oltre al vulnerability scan l'analista verifica la correttezza dei risultati, li
prioritizza e li complementa con una analisi architetturale. Questo test
pi completo del precedente e fornisce pi valore in funzione della
competenza del tester, ma statico e quindi degrada nel tempo.
Risk assessment: metodologie di analisi del rischio si possono
applicare anche all'infrastruttura informatica; unitamente alla BIA,
Business Impact Analysis, quantifica il rischio e determina i fattori di
ROI della sicurezza.

14
chiarificatrice
Security assessment: un test omnicomprensivo della
sicurezza Aziendale Logica, Informatica, Infrastrutturale, Fisica,
ecc. che deve vertere sui processi per minimizzare il degrado. La
metodologia di riferimento: OSSTMM (www.osstmm.org).
Security Auditing: l'auditing della sicurezza un processo
aziendale, non una consulenza spot che identifica il livello di
sicurezza aziendale e ne verifica la compliance alle policy o alle
best practice individuate. E una procedura iterativa che deve
essere implementata nel SGSI aziendale (cfr. ISO 17799:2005)
Penetration test: Fare un PT significa applicare il metodo di
ragionamento che un aggressore applicherebbe. E un test black
box che si focalizza sull'accesso ai dati pi che
sull'identificazione di vulnerabilit e che utilizza metodologie e
strumenti non convenzionali.

15
Usare dei framework
omogenei
16

Un approccio sistematico per organizzare, implementare e misurare la capacit di Software Security Assurance
allinterno dellazienda
Molti di tali approcci hanno le loro basi in modelli di maturit: CLASP, SAMM ed altri . Ma non spaventatevi !!!

Per Framework intendiamo un insieme di metodi, tecniche e strumenti volti a garantire la maggior
sicurezza possibile delle applicazioni software

Review Review Test Ambiente

Modellazione Requisiti Progett. Gestione Migliore
della del di di
delle di Difensiva delle Sicurezza
Architettura Codice Sicurezza Esercizio
minacce Sicurezza Vulnerabilit Infrastruttura Operativo

Requisiti & Progettazione Verifiche & Assessment Rilascio & Esercizio

Le componenti base del
Framework

17
Le componenti base del
Framework

18
Le componenti base del
Framework

19
Framework 20

Review Review Test Ambiente

Modellazione Requisiti Progett. Gestione Migliore
della del di di
delle di Difensiva delle Sicurezza
Architettura Codice Sicurezza Esercizio
minacce Sicurezza Vulnerabilit Infrastruttura Operativo

Requisiti & Progettazione Verifiche & Assessment Rilascio & Esercizio

SDLC Application Security
Governance

Correlazione
Planning
Requisiti Tool Data
di Integration Integration
Sicurezza Progettazione
Modellazione difensiva
delle
Information minacce Review
gathering della
Modellazione Architettura
Disegno
delle Sviluppo
dei
minacce Progettazione
requisiti
Esercizio

Ambiente di
Maintenance
Esercizio Source Code
Proattivo Review
Codifica Analyzer
Feedback del
from field Codice

Gestione Esercizio
delle
Vulnerabilit Test & Collaudo
Migliore
Esercizio Sicurezza Test di
Infrastrutturale Test Sicurezza
di
Sicurezza

Application Penetration
Shielding Test 21
Test)
Uso di strumenti ad hoc
Uso concordato di
tecniche di social
engineering, phishing,
etc.
Exploiting effettivo delle
vulnerabilit, e
dimostrazione dei risultati
(non si potrebbe ma
abbiamo fatto)
Reportistica non
automatizzata e
presentazione dei risultati
live
Un PT non uno
22
strumento di progetto, ma
Testing)
Attivit propedeutiche alla Code Review
Analizzare le caratteristiche tecnologiche e
funzionali dellapplicazione
Definire le modalit specifiche di misurazione degli
indicatori seguendo il modello definito
Individuare le eventuali normative (PCI, SOX,
OWASP Top Ten, ecc.) cui il software oggetto di
assessment deve rispettare
Attivit di Code Review
Definizione della corretta baseline degli oggetti
costituenti lapplicazione e la creazione del relativo
Cross-Reference
Individuazione delle vulnerabilit di sicurezza
rilevate nellapplicazione opportunamente
suddivise per rischiosit
Verifica tramite code review di eventuali falsi
positivi nella scansione e la loro corretta gestione
23 Audit delle vulnerabilit
Verifica della compliance dellapplicazione ad
 Gli strumenti a supporto
Le caratteristiche dei tool leader
Capacit di supportare gli attori coinvolti
nelle fasi del Ciclo di Vita del Software
sicuro in tutte le attivit relative alla
gestione della Sicurezza Applicativa;
Capacit di effettuare non solo Analisi
Statica (white box) del codice sorgente ma
anche Analisi Dinamiche (black box) nelle Gartner RAS Core Research 6
fasi di test; February 2009

Capacit di proteggere le applicazioni in

esercizio
Capacitdagli attacchi tutti
di correlare rendendo disponibili
i dati di rischio per ogni fase del SDLC per
leavere
informazioni per la
un modello di risoluzione
indicatori didelle
rischiosit dellapplicazione;
vulnerabilit;
Capacit di integrarsi con tutti gli altri strumenti utilizzati nel Ciclo di
Vita del Software;
Numerosit degli ambienti/linguaggi supportati e capacit di
adattamento a nuovi ambienti/versioni; 24
 I problemi del mondo reale
I fornitori di queste attivit devono essere concreti:
non realizzare i soliti 4-5 vettori di attacco ma offrirne un ventaglio che sia
utile al cliente e concordare il budget necessario;
effettuare code review reali e non solo una passata di tool di analisi statica
sul codice;
Fornire adeguate linee guida di risoluzione delle vulnerabilit ed
eventualmente partecipare alla progettazione del codice di validazione
I tiger team devono essere di indubbia etica, valori ed esperienza
ed il subappalto di queste figure dannoso: si pensi ai dati sulle
architetture di sicurezza presenti nei forum, su quanti pc transitano
tali informazioni, disclosure sui clienti testati presenti nei cv, ecc.
Attenzione alle terminologie che creano caos nelle offerte e nelle
definizioni di budget: un Vulnerability Assessment non un
Penetration Test.
Aspetti legali e contrattuali

25
 Grazie per lattenzione

Relatore
Massimiliano Argiolu
Formit Servizi Spa
massimiliano.argiolu@formitservizi.com
www.formit.org
www.formitservizi.com

29 novembre 2010 Collaudo e qualit del software 26