SegInfocast #81 – Faça o download aqui.
Neste episódio do SegInfocast, Luiz Felipe Ferreira recebe Rafael Soares e Lucas Lins que trarão as atualizações da novíssima versão 2021 do Top 10 da OWASP, uma referência em desenvolvimento seguro.
Do que se trata a OWASP e o seu Top 10?
Lucas informa que a OWASP é uma fundação sem fins lucrativos, que desenvolve diversos projetos visando aumentar a segurança das aplicações. Ela também organiza conferências ao redor do mundo sobre o tema. Outra frente importante trata de projetos de pesquisa e o famoso Top 10, que revela as principais vulnerabilidades web (categorias de risco).
Rafael complementa sobre a importância e valor da OWASP, por ser totalmente regida pela comunidade de segurança da informação, o que permite a criação e condução de frentes para os desenvolvedores e para os profissionais de testes. Outro ponto positivo é a visão precisa do que deve ser priorizado no intuito de corrigir as vulnerabilidades.
Quais as vantagens que os profissionais de segurança da informação obtêm ao conhecer a OWASP e o Top 10 ?
Lucas acredita que umas das principais vantagens é saber quais são as ações de correção que devem ser priorizadas para minimizar a exposição dos ativos da empresa. Ele lembra que os resultados do Top 10 realmente refletem as vulnerabilidades dos testes que são realizados nos clientes.
O que deve ser feito com as versões anteriores do Top 10? Devem ser descartadas?
Na opinião do Lucas, nada deve ser descartado, já que vulnerabilidades antigas podem ser novamente exploradas. Rafael complementa que o Top 10 não é uma “bala de prata”, outros projetos devem ser utilizados para aumentar o nível de maturidade no que se diz respeito às vulnerabilidades de código.
Quais seriam as novidades da versão 2021 do Top 10 da OWASP?
Lucas revelou que a versão 2021 trouxe três grandes novidades nas categorias: a primeira, em design seguro (security design), a segunda em falhas de integridade de dados e software (software and data integrity failures) e por último a falsificação de solicitação do lado do servidor (server side request forgery).
A categoria do design seguro é bem ampla, englobando diversos tipos de fraquezas. O design seguro (que não deve ser confundido com implementação segura) é uma metodologia que garante que o código possa resistir aos principais métodos de ataque.
A segunda categoria, falhas de integridade de dados e software foca principalmente nas falhas oriundas das atualizações automáticas.
Já a última, falsificação de solicitação do lado do servidor, permite ao atacante acessar o lado servidor e assim podem direcionar para o domínio desejado
Qual a principal vulnerabilidade do Top 10?
Em primeiro lugar está a quebra do controle de acesso (Broken Access Control), que estava em quinto lugar na lista de 2017. Trata-se de uma falha das permissões do usuário, que não poderia realizar ações além daquelas pré-estabelecidas. Para resolver o problema, deve-se tratar o controle de acesso no lado servidor.
Rafael lembra que as vulnerabilidades de aplicações tem evoluído ao longo dos anos. As próprias aplicações hoje são muito mais elaboradas. Ele entende que a injeção, por exemplo, de tanto que foi falado, já faz parte da cultura e por tal razão, perdeu posições na lista.
Há alguma outra mudança relevante na lista?
Lucas notou que a injeção se uniu com o XSS em uma única categoria. Ainda é um tema que merece atenção.
Existe algum documento prático para corrigir ou prevenir as vulnerabilidades?
Lucas sugeriu um guia de codificação segura desenvolvido pela OWASP. Trata-se de um checklist com diversas validações que deve ser incorporado ao ciclo de vida do desenvolvimento. O portal seginfo tem um post detalhado deste guia.
Rafael lembra que a OWASP também possui outros guias com uma abordagem mais pró-ativa com rotina de testes, monitoramento, etc.
Onde podemos encontrar cursos e certificações sobre desenvolvimento seguro?
A Academia Clavis possui o curso de desenvolvimento seguro baseado na certificação da EXIN. Por ser agnóstico em relação a linguagem de programação, é indicado para qualquer desenvolvedor que queira melhorar o seu código e prevenir as aplicações contra ataques.
Sobre os entrevistados
Lucas de Almeida Lins, graduado em Sistemas de Informação pela Universidade Federal do Estado do Rio de Janeiro e Head de Segurança Ofensiva da Clavis Segurança da Informação. Possui experiência de mais de 5 anos em áreas, como Segurança Ofensiva, Infraestrutura e Academia. Possui a certificação Security+, da CompTIA; Vulnerability Management, da Qualysl; e as certificações Trustee, Defender, Sentry e Certified Delivery Engineer (CDE), da CyberArk.
Rafael Soares Ferreira é Diretor Comercial do Grupo Clavis Segurança da Informação. Profissional atuante nas áreas de testes de invasão e auditorias de rede, sistemas e aplicações, e de detecção e resposta a incidentes de segurança. Já prestou serviços e ministrou cursos e palestras sobre segurança da informação para grandes empresas nacionais, internacionais, órgãos públicos e militares, assim como em diversos eventos, entre eles: GTS – Grupo de Trabalho em Segurança de Redes do cgi.br, CNASI – Congresso de Segurança da Informação, Auditoria e Governança TIC, FISL – Fórum Internacional de Software Livre, OWASP Day, Bhack Conference, SegInfo – Workshop de Segurança da Informação, Bsides SP, entre outros. Na Academia Clavis é instrutor dos seguintes cursos: Certified Ethical Hacker (CEH), Teste de Invasão em Redes e Sistemas, Auditoria de Segurança em Aplicações Web, Análise Forense Computacional, Teste de Invasão em Redes e Sistemas EAD, Auditoria de Segurança em Aplicações Web EAD e Análise Forense Computacional EAD. Possui as certificações CEH v8 (Certified Ethical Hacker), ECSA v4 (EC-Council Certified Security Analyst), CHFI v8 (Computer Hacking Forensic Investigator), CompTia Security+, SANS SSP-CNSA (Stay Sharp Program – Computer and Network Security Awareness) e ENSA v4.1 (EC-Council Network Security Administrator).
Sobre o entrevistador:
Luiz Felipe Ferreira tem 16 anos de experiência em Tecnologia da Informação e desde 2008 trabalha com Segurança da Informação. Formado em Tecnologia em Informática pela UniverCidade e com MBA em Gestão de Projetos e Negócios em TI pela UERJ. Atualmente é Data Protection Product Owner no Itaú Unibanco. Apresentador do SegInfocast, um podcast focado em Segurança. Professor universitário na IDESP. Instrutor credenciado EXIN no tema de privacidade e proteção de dados pela Clavis. Vice-Representante da Regional São Paulo na ANPPD (Associação Nacional dos Profissionais de Privacidade de Dados), Palestrante em diversos congressos de Segurança como SegInfo, WorkSec e Congresso de TI. Possui as certificações EXIN DPO, ISFS, PDPF, PDPP.
Posts relacionados: OWASP Top 10 Liberadas as Vulnerabilidades principais de 2021 / Um guia para codificação segura do OWASP e Você conhece o projeto OWASP Top 10 Privacy Risks?