Sovellustietoturvallisuus Petteri Arola OWASP Chapter Leader Nixu Oy OWASP The OWASP Foundation

Transkriptio

1 Sovellustietoturvallisuus Petteri Arola Chapter Leader Nixu Oy Copyright The Foundation Permission is granted to copy, distribute and/or modify this document under the terms of the License. The Foundation

2 Sovellustietoturvallisuus Miksi sovellukset ovat haavoittuvia?

3 Karu todellisuus Kaksi viikkoa hakkerointia Virheitä sovelluksen logiikassa Puutteelliset turvakontrollit Ohjelmointivirheet 10 henkilötyövuotta ohjelmistokehitystä

4 Sovellukset ovat hyökkäysten etulinjalla Sovellukseen on yhä helpompi päästä käsiksi, sovellushaavoittuvuudet ovat hyökkäysten aloituspiste Haavoittuvuuksia on helppo hyödyntää -> Mahdollisuuksia on lukuisia -> Hyökkäykset ovat tuloksekkaita Verkon suojaukset ovat hyödyttömiä nykypäivän sovellusturvallisuusuhkiin

5 Ohjelmiston elinkaari perinteinen tapa 1. Asiakas tarvitsee ohjelman 2. Toimittajan ohjelmistokehittäjä ohjelmoi jotain joka näyttäisi toimivan 3. Sen pituinen se

6 Sovellushaavoittuvuuden elinkaari perinteinen tapa 1. Haavoittuvuustutkija/ tietoturvakonsultti/ lonely hacker löytää haavoittuvuuden 2. Haavoittuvuus ilmoitetaan ohjelmistotoimittajalle ja haavoittuvuuskoordinaattorille (CERT) 3. Haavoittuvuuskoordinaattori valvoo, että haavoittuvuus tulee joskus korjattua N. Toimittaja julkaisee korjauksen N+1. Sen pituinen se

7 Mitä tapahtui vaiheessa N? 1. Vikatiketti avataan 2. Ohjelmoija korjaa bugin 3. Tiketti suljetaan

8 Sama juttu seuraavassa kuussa

9 Ja seuraavassa kuussa

10 Mikä on pielessä?

11 Meidän ei tarvitse huolehtia sovellusturvallisuudesta, koska " Meillä on palomuuri ja SSL käytössä Kehittäjä: kysyt väärältä henkilöltä, meidän tietoturva-hemmo hoitaa nämä asiat Tietoturvahemmo: kysyt väärältä henkilöltä, koska meidän ohjelmistokehittäjät hoitavat nämä asiat Sovellusta ostava henkilö: tottakai meidän sovellustoimittajan huomioi tässä sovelluksessa tietoturva-asiat ilman eri vaatimusta, sehän on selvä Sovellustoimittaja: me teemme tämän sovelluksen täsmälleen vaatimusten mukaisesti Meidän sovelluskehitysvälineet huolehtivat sovelluksen turvakontrolleista

12 Miksi sovellusturvallisuus on yleisesti niin heikossa jamassa? Ø Koko sovellusturvallisuuskäsite on epäselvä ja se edelleen mielletään jonkun toisen ongelmaksi Ø Ala on vielä kohtuullisen nuori ja kehittymätön -> yleinen tietoisuus sovellusturvallisuudesta ja siihen liittyvistä parhaista käytännöistä on vähäistä Ø Sovellusten ostajat eivät vielä osaa vaatia sovellustoimittajilta toteutuksia, jossa sovellusturvaasiat olisi huomioitu riittävällä tasolla Ø Ohjelmistokehityksen ammattilaisia kouluttavissa oppilaitoksissa ei opeteta sovellusturvallisuutta

13 Kenen pitäisi huolehtia sovellusten tietoturvasta? Eilen Mikä sovellustietoturva? Tänään Tietoturvahemmo Huomenna (?) Jokainen: ohjelmistokehittäjät, sovellusarkkitehdit, sovellusten ostajat, sovellustoimittajat

14 Mikä on? Ø Open Web Application Security Project Ø Voittoa tavoittelematon, vapaaehtoisuuteen perustuva open source -yhteisö Ø Yhteisön tavoitteena on kasvattaa tietoisuutta turvallisen ohjelmistokehityksen menetelmistä kehittää uusia open source ratkaisuja turvallisen ohjelmistokehityksen haasteisiin Ø Avoin keskustelufoorumi

15 Hyödynnä ia Ø Sovellusturvallisuustietoisuuden kasvattamiseen Ø Top 10 Ø Ohjelmistojen ostamiseen Ø Secure Software Contract Annex Ø Ohjelmistojen kehittämiseen Ø Developers guide Ø Code review guide Ø Sovellusten tietoturvan varmistamiseen ja testaukseen Ø Testing guide Ø ASVS Ø Building security in Ø OpenSAMM

16 Top Ten

17 Developer Guide

18 Code Review Guide

19 Testing Guide

20 Application Security Verification Standard (ASVS)

21 OpenSAMM

22 työkalut Haavoittuvuusskannerit Staattiset koodianalysaattorit Fuzzaustyökalut Pentest työkalut Koodikatselmointivälineet Automaattityökalut tietoturvan varmistamiseen Työkalut tietoturvan manuaaliseen varmistamiseen AppSec kirjastot ESAPI referenssitoteutukset Raportointivälineet Turvallinen ohjelmointi Ohjelmistoturvan hallinta ESAPI Tietoturvaarkkitehtuuri Haavoittuvat ohjelmistot Oppimisympäristöt Live CD Ohjelmistoturvallisuuden koulutus

23 Tarvitsetko lisää?.net Project ASDR Project AntiSamy Project AppSec FAQ Project Application Security Assessment Standards Project Application Security Metrics Project Application Security Requirements Project CAL9000 Project CLASP Project CSRFGuard Project CSRFTester Project Career Development Project Certification Criteria Project Certification Project Code Review Project Communications Project DirBuster Project Education Project Encoding Project Enterprise Security API (ESAPI) Flash Security Project Guide Project Insecure Web App Project Interceptor Project JBroFuzz Java Project LAPSE Project Legal Project Live CD Project Logging Project Orizon Project PHP Project Pantera Web Assessment Studio Project SASAP Project SQLiX Project SWAAT Project Sprajax Project Testing Project Tools Project Top Ten Project Validation Project WASS Project WSFuzzer Project Web Services Security Project WebGoat Project WebScarab Project XML Security Gateway Evaluation Criteria Project on the Move Project

24 Tule mukaan