SNITS-Lunch Säkerhet & webb 2013-10-08
Kort om ÅF
ÅF i Karlstad idag! Vi är ca 150 varav 50 inom IT Automation Elkraft Mekanik Industriell IT Process och miljö IT och telekom Energi Industri Automotive / Fordon Telekom Energi Försvar Medicinteknik / Life Science Offentlig sektor
Lösningar och Tjänster Producera bättre Ta kontroll! TJÄNSTER Förstudier Analyser Projektledning Systemdesign och utveckling Databaser Helhetsåtaganden Specialistresurser Support åtaganden
Några av våra kunder i regionen
Presentation
Bakgrund Säkerhet i webbtjänster sett som konsument och leverantör I dag när tidningar allt som oftast är fyllda av rubriker som 25 000 inlogg på vift efter hackerattack (IDG.se 2013-09-23) så vill man inte vara antingen en av de drabbade 25 000 eller den part som ligger bakom den hackade webbtjänsten. Vad innebär it-säkerhet i utveckling för webben och hur påverkar molnet leveransen och konsumtionen av webbtjänster. Vi diskuterar både tekniska förutsättningar och svårigheter samt de mjukare aspekterna av moln-tjänster och ägandefrågan kring information. Vilka hjälpmedel finns att tillgå och vilka fallgropar skall man undvika.
Webb-tjänster sårbara Rubriker tagna endast under september 2013
1999 2000 2001 2002 2003 2004 2005 2006 2007 2008 2009 2010 2011 2012 Statistik Anmälda brott, taget från statistik.bra.se 10000 Dataintrång 8000 6000 4000 2000 Dataintrång 0 Textbox for image text, naming sources etc.
Carna Botnet Hela /0-segmentet scannat och anslutet http://internetcensus2012.bitbucket.org/paper.html
Internets historia Kortfattat E-post som kommunikationsmedel Elektroniska anslagstavlor (BBS) Personliga hemsidor -> Bloggar Social media Internetbaserat kontor/arbetsstation
Säkerhet som konsument Vad innebär detta Hur använder jag Internet idag? Vilka sidor/tjänster besöker jag frekvent? Vad har dessa sidor/tjänster för policy kring data av personlig karaktär? Vilka lagar gäller för utlämning av data för dessa sidor/tjänster? Var finns informationen om mig lagrad? Kan jag radera min information?
Webbtjänster i molnet Som konsument Är leverantören av webbtjänsten även leverantör av infrastrukturen? Vem levererar infrastrukturen? Hur ser gränsdragningarna ut mellan leverantörerna? Var finns samtliga leverantörer rent geografiskt? Vilka juridiska krav föreligger för leverantörerna? Vilken nivå på översyn kan du som konsument kräva av leverantörerna av webbtjänsten?
Webbtjänster i molnet, forts. Som leverantör Vilka lagar, förordningar och standarder måste vi förhålla oss till? PUL, PCI/DSS Äger vi samtlig ingående infrastruktur? Har vi rättighet att granska den underliggande infrastrukturen?
Teknik
Definitioner, molntjänster SaaS Software as a Service PaaS Platform as a Service IaaS Infrastructure as a Service
SaaS On-demand software Central lagring av applikationen Kundanpassning möjlig, men gemensam kodbas Exempel Dropbox Google Apps Office 365 Evernote
PaaS Levererar kapacitet att publicera egna applikationer för direktåtkomst Kan innebära möjlighet att skapa konfigurationsförändringar för mjukvaruplattformen Exempel Databaser (mysql, Oracle, etc.) Web-servrar (Apache, Tomcat, etc.)
IaaS Full kontroll på infrastrukturen erhålls Kan hantera och administrera servrar, lagring etc. men oftast endast ett fåtal nätverkskomponenter Behöver inte hantera datahallsfrågor som kyla och ström-distribution Exempel Amazon EC2 Microsoft Azure Rackspace
Tankar inför ett utvecklingsprojekt Vad skapar jag för sida/tjänst? Hur skall den nyttjas? Skall vi hantera all infrastruktur själva? Skall molnet utnyttjas? Vilken molnmodell skall användas? Vilken användardata skall vi hantera? Vilka lagar och regler gäller oss? Vilken licensieringsmodell skall användas? Öppen eller sluten källkod? Hur högt skall säkerhetsfrågan prioriteras?
OWASP Open Web Application Security Project Skapades 2001 och är en ideell organisation som verkar för säker utveckling av webb-applikationer Tillhandahåller dokument, verktyg, utbildningar, guidelines, checklistor och övrigt material för att höja säkerhetsnivån på skriven kod Finns både checklistor att använda före och efter ett nytt utvecklingsprojekt Finns ett Swedish Chapter (https://www.owasp.org/index.php/sweden)
OWASP, forts. Exempel på Cheat Sheets som finns tillgängliga Authentication Cheat Sheet Cryptographic Storage Cheat Sheet Ruby on Rails Cheat Sheet Web Service Security Cheat Sheet XSS (Cross Site Scripting) Prevention Cheat Sheet Finns även flertalet med status Draft Web Application Security Testing Cheat Sheet Access Control Cheat Sheet
Egen kontroll När allt är klart, vänd på det hela. Försök att förstöra. Web Application Security Testing Cheat Sheet (OWASP) Sårbarhetsanalyser/Penetrationstester Backtrack/Kali Linux Pwnie Express SQL Injection Pangolin SQLNinja Nessus, OpenVas, Saint, Satan Metasploit Framework
Google hacking Lek runt med Google hacking på er egen webbtjänst. Vad publicerar ni? Använder ni script med kända sårbarheter? Publicerar ni användarnamn och lösenord? Exempel: Filetype:pdf Infile:login Inurl:admin
Defense in depth
Förhoppningsvis slipper ni detta
Frågor?