OWASP ASVS to standard weryfikacji bezpieczeństwa aplikacji. Standard ten popularny zarówno w Polsce jak i na świecie pomaga zarówno w weryfikacji bezpieczeństwa jak i podczas definiowania wymagań dotyczących bezpieczeństwa aplikacji (funkcjonalnych i niefunkcjonalnych).
Na etapie weryfikacji umożliwia on sprawdzenie czy są stosowane zasady dobrej praktyki i pozwala audytorowi na wypowiedzenie się o tym co jest poprawne a nie tylko na koncentrowanie się na błędach, jak to ma miejsce przy nieustandaryzowanych testach bezpieczeństwa. Ponadto stosowanie ASVS powoduje sprecyzowanie zakresu testów bezpieczeństwa a co jest istotne przy zlecaniu testów bezpieczeństwa na zewnątrz organizacji.
Pod koniec roku 2015 ukazała się nowa wersja OWASP ASVS 3.0. Zmiany w nowej wersji obejmują m.in.: uzupełnienie listy kontrolnej o rozdziały dotyczące konfiguracji, aplikacji mobilnych, WebServices i REST, mapowanie na bazę podatności CWE i standard PCI-DSS, uporządkowanie wielu zapisów. Prezentacja będzie miała na celu omówienie standardu oraz najważniejszych zmian w bieżącej wersji.
5. Co wiemy?
„Razor4 twierdzi, ze do serwerów banku dostał
się pod koniec stycznia poprzez nieujawniony
błąd wynikający z braku regularnych aktualizacji
oprogramowania.”
„wstawił odwołanie do skryptu JS umieszczonego
na swoim serwerze, dzięki któremu mógł
modyfikować numery rachunków na które
przekazywane były przelewy klientów banku”
6. Co wiemy?
„Razor4 twierdzi, ze do serwerów banku dostał
się pod koniec stycznia poprzez nieujawniony
błąd wynikający z braku regularnych aktualizacji
oprogramowania.”
„wstawił odwołanie do skryptu JS umieszczonego
na swoim serwerze, dzięki któremu mógł
modyfikować numery rachunków na które
przekazywane były przelewy klientów banku”
Przyczyna:
„Dziurawy” komponent
aplikacji
7. Bank + Telekom
Źródło: https://zaufanatrzeciastrona.pl/post/jak-zlodzieje-okradali-konta-
bankowe-klientow-sieci-play/
8. Bank + Telekom
Źródło: https://zaufanatrzeciastrona.pl/post/jak-zlodzieje-okradali-konta-
bankowe-klientow-sieci-play/
Przyczyna:
Do uwierzytelnienia się
do obu aplikacji
wystarczyły tylko login i
hasło
13. Połączenia SSL do Facebooka
Źródło: https://www.facebook.com/notes/protect-the-
graph/analyzing-forged-ssl-certificates-in-the-
wild/1451429791763834/
14. Połączenia SSL do Facebooka
Źródło: https://www.facebook.com/notes/protect-the-
graph/analyzing-forged-ssl-certificates-in-the-
wild/1451429791763834/
Przyczyna:
Przeglądarka nie wykryła
braku HTTPS lub
sfałszowanego certyfikatu
15. Czy w tych wypadkach developerzy nie myśleli o
bezpieczeństwie?
Przecież te instytucje nie zatrudniają jednych z
najlepszych specjalistów!
Czy nie było testów bezpieczeństwa?
16. Bezpieczeństwo aplikacji ?
„Aplikacja ma opierać się
atakom i przetwarzać dane w
sposób bezpieczny, zgodnie
zasadami dobrej praktyki.
Scenariusze testów
bezpieczeństwa mają
odpowiadać współczesnym
zagrożeniom i metodom
ataków”
Czy dobrze określiliśmy
co to znaczy
„bezpieczeństwo”?
Co to w praktyce
znaczy?
Czy da się rozliczyć taką
usługę?
18. OWASP ASVS
• Lista wymagań lub testów dotyczących
bezpieczeństwa aplikacji
• Może być używana przez architektów,
programistów, testerów, specjalistów
bezpieczeństwa, użytkowników końcowych w
celu zdefiniowania czym jest bezpieczna
aplikacja
19. Historia
• 2009: V 1.0 przetłumaczona na polski
• 2014: V 2.0 przetłumaczona (tylko lista)
• 2015: V 3.0
21. ASVS Level
Level 1:
Minimum
Wszystkie aplikacje Podatności które są
łatwe do wykrycia,
z listy OWASP Top
10 lub podobnych.
Level 2:
Standard
Aplikacje
przetwarzające dane
wrażliwe
Większość ryzyk
związanych z
aplikacjami
Level 3:
Enchanced
Naruszenie może
powodować b.duże
straty
j.w. + zasady
bezpiecznego
projektowania
22. Str 14 „Applying ASVS in Practice”
• Finance and Insurance
• Manufacturing, professional,
transportation, technology,
utilities, infrastructure, and
defense
• Healthcare
• Retail, food, hospitality
23. • Podstawa do stworzenia listy zasad
bezpieczeństwa uwzględniającej specyfikę
aplikacji, organizacji i platformy.
• Przed zastosowaniem wskazana jest analiza
bezpieczeństwa aplikacji / procesu
• Deklaracja stosowania + rozszerzenia
img src: http://www.rmgnetworks.com/blog/bid/365859/Internal-communications-is-not-one-size-fits-all
25. Najważniejsze zmiany
• Uporządkowanie i deduplikacja
• Usunięcie wymagań/testów które miały znikomy
wpływ na bezpieczeństwo
• Dostosowanie do nowych technologii (REST,
HTML5, itp.)
• Nowe sekcje: WebServices, Configuration
• Promuje użycie zabezpieczeń, które są dostępne
od dłuższego czasu (2FA, CSP, HSTS)
• Mapowanie na PCI-DSS i CVE*
* TBD
42. Połączenia SSL do Facebooka
Źródło: https://www.facebook.com/notes/protect-the-
graph/analyzing-forged-ssl-certificates-in-the-
wild/1451429791763834/
43. Podsumowanie
• ASVS 3.0:
• Wywołanie zmian
– Stosowanie mechanizmów od dawna istniejących
w przeglądarkach
– Dobre praktyki dotyczące architektury i
konfiguracji
• Uporządkowanie wielu kwestii
49. • Kiedy będzie polska wersja?
Zapraszamy wolontariuszy do współpracy
• Gdzie mogę zgłaszać zmiany, błędy, itp?
Jak mogę się włączyć w tworzenie ASVS?
https://www.owasp.org/index.php/Category:OWASP_Applica
tion_Security_Verification_Standard_Project
– Email list
– Github: https://github.com/OWASP/ASVS -> Issues