Suas aplicações são seguras?

Conheça a Conviso!

Conviso no Just 4 Meeting

Por Magno Logan:

O Just4Meeting começou no dia 6 de Julho e foi até o dia 8. O evento foi realizado no Riviera Hotel, em Carcavelos, Portugal. Foi difícil ficar no hotel e assistir às palestras quando fazia sol lá fora e o hotel ficava a poucos metros de distância da praia, que tinha água fria, algo que não estou acostumado em João Pessoa. Apesar disso eu consegui, pelo menos durante as palestras. =)

Primeiro Dia

O primeiro dia foi excelente, com diversas palestras bem interessantes, algumas técnicas outras nem tanto. Começamos o dia com o italiano Raoul Chiesa da ONU, ainda de ressaca e sonolento, falando sobre como ele fez para traçar o perfil dos hackers através do seu projeto HPP (The Hacker’s Profiling Project), criado pelas Nações Unidas em 2004. Ele abordou os diversos tipos de hackers e os motivos pelos quais eles agem e também como ele fez para obter essas informações do mundo underground. Ele também falou que eles possuem um dos maiores banco de dados com informações sobre hackers e ataques realizados e que antigamente essas informações eram divulgadas com os países que fazem parte da ONU, mas que devido aos ataques recebidos justamente de alguns desses países, eles pararam de compartilhar grande parte das informações.

A segunda palestra também foi de um italiano, agora o Michele Orru, do SpiderLabs, que falou sobre as novidades no BeEF, ferramenta open source desenvolvida por ele para auxiliar nos testes de invasão através da utilização de ataques client-side. Ele apresentou o projeto e depois mostrou as novidades como a RESTful API que permite automatizar os ataques em diversos browsers através de scripts. Também falou da utilização de WebSockets, nova tecnologia de comunicação bidirecional executado através dos navegadores que veio junto com o HTML5, que já é suportado por vários navegadores como Chrome, Safari e Firefox. Com isso é possível controlar o navegador capturado quase que em tempo real, podendo imitar as funcionalidades do VNC para controlá-los. No final ele também mostrou as melhorias feitas no plugin do scanner de XSS do BeEF, o XssRays, que facilita a identificação de XSS tornando-o livre de falsos positivos devido ao fato do BeEF precisar explorar a falha para descobrir que a vulnerabilidade existe. Excelente palestra, e uma ferramenta muito interessante.

A terceira palestra foi do russo e CTO do ERPScan, Alexander Polyakov, que falou das 10 vulnerabilidades e ataques mais interessantes no SAP, sistema ERP utilizado por grandes empresas em todo o mundo. Ele não teve muita sorte porque o laptop dele estava dando mau contato direto com o projetor, mas ignorou o problema e seguiu em frente com a apresentação. Primeiramente ele apresentou o SAP e mostrou a sua importância para as grandes empresas hoje em dia. Depois ele mostrou algumas vulnerabilidades bem interessantes como criptografia insegura, bypass de autenticação, além das mais conhecidas como XSS, SQL Injection, entre outras. Excelente palestra e um tema bem interessante, se não fosse o problema do projetor teria sido melhor. Bom, pelo menos a palestra foi gravada, vale a pena ver de novo!

Depois, foi a vez do inglês Michael Kemp apresentar uma das palestras mais hilárias do evento sobre um tema bastante sério: Cyberterrorismo. Ele apresentou, sobre uma visão cética, um tema que é bastante abordado pela mídia e pelo governo para gerar o famoso FUD (Medo, Incerteza e Dúvida, em inglês), nas pessoas e fazerem elas aceitarem leis absurdas e atitudes que normalmente não seriam aceitas. Ele mostrou que se os tão chamados cyberterroristas realmente quisessem causar o caos através da internet, eles não estão fazendo um bom trabalho. O próprio Mike, conseguiu sozinho  informações, que deveriam ser confidenciais, de pessoas que trabalham para diversos órgãos de missão crítica no Reino Unido, como os controladores de vôo que administram todo o espaço aéreo da Inglaterra e dos outros países ao seu redor. Mostrou também como até mesmo os próprios órgãos de segurança dos EUA como FBI, CIA, NSA, e DHS tem conceitos diferentes e até mesmo divergentes sobre o que é um ato de cyberterrorismo. Um ponto interessante que ele levantou durante a sua palestra foi que os governos estão começando a se preocupar mais e investir mais dinheiro para se proteger e evitar o cyberterrorismo do que o terrorismo propriamente dito e então ele questionou: “Ora, eu estaria muito mais preocupado com uma bomba que explode nas ruas do que com um sistema que foi invadido. Por que? Porque se uma bomba explode, ela provavelmente irá matar várias pessoas, mas se um sistema é invadido, eu só fico com raiva e reinstalo!”. Uma palestra bastante interessante e que diz respeito a todos nós, independente de sexo, cor, raça, religião, ou profissão.

A última palestra do primeiro dia foi do sueco Claes Spett, acredito que o mais novo palestrante do evento, com 18 anos. Ele mostrou o seu cavalo de tróia chamado de RA-Agent, feito em Python e multiplataforma, que possui diversas funcionalidades como shell reversa, spam, quebrar hashes, etc. Ele afirma ser 100% indetectável pelos anti-virus, mas infelizmente não pode liberar o código, pois poderia ser perseguido e até mesmo preso pela polícia sueca. Tentei convencê-lo a liberar o código, pois estava em Portugal e ninguém precisava saber disso, mas não adiantou. =)

Segundo Dia

O segundo dia de evento para mim foi o dia dos workshops. Diversos workshops legais começando pelo do Taras Ivashchenko, um dos desenvolvedores do w3af e o primeiro russo que conheço que não toma vodka, sobre como testar aplicações web com o w3af. Como a minha palestra era no mesmo horário do workshop do Taras, consegui falar com o Thomas Mackenzie, que iria palestrar depois de mim, para ele ir primeiro para eu poder assistir pelo menos parte do workshop do Taras. Valeu a pena! Apesar de não poder ter ficado até o final pude entender melhor o funcionamento desta ferramenta bastante completa para análise e testes de invasão em aplicações web. Mas o Taras ficou de me passar os slides, pois infelizmente o workshop não foi gravado.

Depois disso foi a vez da minha palestra, sobre como proteger as suas aplicações web. Falei um pouco da importância dos processos como modelagem de ameaças, testes de segurança, revisão de código, testes de invasão e como implementar um processo SDL ajudará as equipes de desenvolvimento a realizar estes processos e implementar os mecanismos de segurança necessário durante o ciclo de vida do software. Mostrei também que possuímos diversas ferramentas, guias e documentos para isso, mas que mesmo assim até empresas grandes como Linkedin, Sony, entre outras, ainda desconhecem estes recursos ou se recusam a utilizá-los. Para finalizar falei um pouco sobre o ciclo do software inseguro, ou seja, o motivo pelo qual os desenvolvedores não desenvolvem sistemas com segurança. Justamente porque eles não foram treinados para isso, pouquíssimas são as faculdades e os cursos que oferecem disciplina de desenvolvimento seguro para os cursos de programação e que também são raras as empresas que oferecem este tipo de treinamento aos seus colaboradores.

Após o almoço foi a vez do brasileiro Ewerson Guimarães, mais conhecido como Crash, do DcLabs apresentar seu workshop sobre como desenvolver um módulo para o Metasploit. Crash apresentou a ferramenta e fez uma breve introdução sobre ela, e depois deu todas as dicas e todo o passo a passo sobre como desenvolver o seu módulo e utilizar a própria API do metasploit. Eles seguem uma série de padrões e boas práticas que o Crash não seguiu durante a sua ideia de desenvolver o seu módulo e que teve que aprender do jeito mais difícil. Ou seja, não adianta apenas saber Ruby, tem que entender também e utilizar a API corretamente. No final o Crash mostrou o módulo que ele desenvolveu e que explora uma vulnerabilidade de LFI (Local File Include) para obter arquivos e informações interessantes da vítima através de uma wordlist. O módulo se chama Generic HTTP Directory Traversal Download Utility e serve justamente para levantar informações de um servidor vulnerável e identificar novas vulnerabilidades. Excelente workshop!

Após o treinamento do Crash, tivemos um coffee break e foi a vez do meu workshop. Nenhuma novidade aqui, abordei a introdução sobre segurança em aplicações web, mostrando com o WebGoat da OWASP falhas conhecidas como XSS e SQLi, pois o tempo era curto, mas que ainda existem aplicações web vulneráveis até aos mais simples desses ataques. Felizmente ou infelizmente alguns participantes ainda não conheciam estas falhas, mas conseguiram realizar os exercícios depois das explicações teóricas. Também fugimos um pouco do tema e discutimos um pouco sobre a legislação portuguesa em relação aos ataques, invasões e criação de exploits e ferramentas de segurança e constatamos que é bem parecida com a do Brasil. No final mostrei alguns vídeos de aplicações web conhecidas e vulneráveis a XSS como eBuddy, sistema de mensagens instantâneas que funciona pelo navegador.

No final do segundo dia ainda rolou um CTF organizado pela PTCoreSec (ptcoresec.eu), que era de dupla e tinha vários desafios como web, forense, trivia, criptografia, etc. Eu e o Crash decidimos participar de última hora para representar o Brasil. Não sei não entendemos direito as instruções ou as dicas que algumas vezes estavam em português de Portugal e demoramos um pouco para pegar o jeito da coisa, até porque a rede não estava muito boa. Mas pelo menos ficamos em 2o lugar empatado com mais um time. Foi divertido e ao mesmo tempo desafiador, a galera da PTCoreSec manda muito bem nos CTF, parabéns a todos pela organização!

No terceiro dia assisti apenas duas palestras, pois estava muito cansado. A primeira foi a do Moisés Guimarães, também de João Pessoa, sobre Criptografia em Transações Eletrônicas, que falou sobre a implementação e o funcionando da criptografia em meios de pagamento como POS, aquelas máquinas de cartões de crédito que utilizamos diariamente para fazer compras. Palestra bem interessante, apesar de já ter visto durante o OWASP Paraíba Day. Ele demonstrou os diversos tipos de criptografia utilizadas para a realização das transações eletrônicas em sistemas que possuem pouca capacidade de processamento e memória, portanto tendo que garantir a segurança mas ao mesmo tempo não podem ser muito lentos. Já pensou você ter que esperar uns 5 minutos depois que digitasse a senha a do seu cartão para que a transação fosse efetivada? Seria praticamente inviável. É justamente nessas situações desafiadoras que surgem soluções inteligentes.  Excelente palestra!

Para finalizar, assisti a palestra do Taras sobre como automatizar os testes em aplicações web modernas como Twitter, Gmail, entre outras. Estas aplicações possuem diversas tecnologias como AJAX que muitos scanners não conseguem detectar e analisar. Ele mostrou também que falhas como o XSS baseado em DOM são dificilmente encontradas por estas ferramentas. Então, ele desenvolveu um plugin para o w3af  que auxilia neste de trabalho e que em breve será adicionado a ferramenta. Realmente muito boa a palestra e estou ansioso para testar este novo plugin no w3af.

O Just 4 Meeting foi isso! O local do evento foi muito bem escolhido e as palestras foram de alto nível, parabéns aos organizadores!

Os vídeos de algumas palestras já estão disponíveis aqui: http://www.ptcoresec.eu/?page_id=295

Originalmente postado no Blog da Conviso Application Security – Siga-nos no Twitter @conviso Google+

Tags

Deixe um comentário

topo
%d blogueiros gostam disto: