La sicurezza ai tempi dell’ASAP

La fretta è cattiva consigliera

@thesp0nge

$ thesp0nge.inspect• Application Security Specialist

• Codesake::Dawn e wordstress project leader

• technical blogger at https://codiceinsicuro.it

• Papà && Marito && atleta di Taekwon - do ITF

• Odia la parola ASAP

As Soon As Possible

La buona progettazione non è un lusso

Ma noi lo vogliamo ASAP• Mancanza di strategia: non so

quello che voglio, ma lo voglio ora

• Cost saving: team non senior con poca esperienza e senza attitudine a lavorare sotto stress

• Time saving: troppi requisiti + troppo codice da scrivere + poco tempo = 0 test

https://flic.kr/p/7qaTZM

Roma non è stata costruita in un giorno

• Perché lo voglio ASAP?

• So cosa voglio?

• Conosco l’effort necessario per realizzarlo?

https://flic.kr/p/4RqnXP

Il potere di dire no!

• Approccio agile alla realizzazione di un prodotto

• Realizzare le funzionalità principali e poi man mano aggiungere solo quello strettamente necessario

• Non cadere nella tentazione di fare tutto

https://flic.kr/p/8xs5cc

Perché non farlo ASAP?

http://www.idtheftcenter.org/images/breach/DataBreachReports_2014.pdf

Secure As Soon As Possible

Ovvero, con raziocinio

SASAP I - Essere consapevoli• Sensibilizzare gli

stakeholder sul rischio di non eseguire test di security

• “Non siamo una banca” non è una scusa; potete essere sotto attacco proprio ora

• La sicurezza è nel business e nei processi, la tecnologia è secondaria

https://flic.kr/p/3k4LEN

SASAP II - Formazione agli sviluppatori

• Linee guida di sviluppo sicuro

• Come implemento la cifratura?

• Che algoritmo di hashing scelgo?

• Come si implementa un reset password?

• …

https://flic.kr/p/bWLxnw

SASAP III - Automatizzare

• Meno intervento umano = Meno delay = ASAP (sicuro)

• Molte parti del SSDLC si possono automatizzare

• Concentro i punti di test manuale nei momenti critici e per funzionalità core

https://flic.kr/p/i9onV9

SASAP IV - I voti• Do dei voti con in scala da A ad F

per

• livello di sicurezza perimetrale (threat modeling)

• livello di sicurezza infrastrutturale (vulnerability management)

• livello di sicurezza applicativa (code review)

• livello di sicurezza applicativa (penetration test)

http://img.wikinut.com/img/1x91f0yehycqs2ie/jpeg/0/grade-F.jpeg

Caso di studio: mettere online wordpress e dormire

la notte

Caso di studio: cosa proteggo

• Il business vuole mettere online un sito basato su wordpress

• Tra due giorni

• Vediamo perché dormirò tranquillo…

https://flic.kr/p/8Up8qK

Caso di studio: Threat model

• Intervisto lo stakeholder

• Censisco i flussi applicativi

• Disegno dove sono i server, i DB, i FW perimetrali, i WAF

• Indico i protocolli utilizzati

• (non è una parte automatizzabile)

https://flic.kr/p/fkJPh

Caso di studio: Vulnerability Management

• Scelgo uno strumento di scansione automatica

• Produco periodicamente un report con le vulnerabilità più critiche

• Concordo la mitigazione delle vulnerabilità con le persone che gestiscono quei server

• Questo processo porterà ad avere macchine gestite e sicure… nel tempo

Caso di studio: code review

• Un software in grado di eseguire una code review di un altro software è utopia

• Si può automatizzare il calcolo di metriche, la ricerca di API insicure o la taint analysis per cercare cross site scripting o sql injection

https://flic.kr/p/64tcvq

Caso di studio: WAPTUso wpscan per testare i miei wordpress per vulnerabilità legate alla

versione di wp, ai plugin ed ai temi installati

Caso di studio: WAPTUso una dashboard in Rails che prende i dati dall’output di wpscan e

presenta dati sulle scansioni

Caso di studio: WAPTIn maniera visuale ho l’andamento nel tempo delle vulnerabilità ed il

dettaglio delle issue trovate sui miei wordpress

DEMO

Posso dormire tranquilloE tu?

https://flic.kr/p/jZbArT