KEN VAN WYK. Fondamenti di Secure Coding e metodi di Testing contro le violazioni del Software

Transcript

1 LA TECHNOLOGY TRANSFER PRESENTA KEN VAN WYK Fondamenti di Secure Coding e metodi di Testing contro le violazioni del Software ROMA 2-6 OTTOBRE 2006 RESIDENZA DI RIPETTA - VIA DI RIPETTA, 231 info@technologytransfer.it

2 Fondamenti di Secure Coding e metodi di Testing contro le violazioni del Software DESCRIZIONE PROGRAMMA Tutti, compresi quelli che scrivono protocolli o processi interni, sono responsabili di usare tecniche di Secure Coding per minimizzare gli effetti di un attacco, sia esso intenzionale o accidentale. Secure Coding è il processo che riduce la suscettibilità del software alle vulnerabilità. Include aspetti che sono classificati difensivi in natura (come ad esempio: checking error return codes prima di usare handles o altre strutture dati che dovrebbero essere state create o proteggersi contro l uso di un puntatore dopo che è stato rilasciato). Include anche aspetti che possono essere normalmente associati a procedure crittografiche (come ad esempio: generazione di numeri random, algoritmi di codificazione, ecc.). I partecipanti impareranno il campo d azione degli errori di sviluppo software che creano problemi sulla sicurezza, affidabilità, disponibilità e confidenzialità dell applicazione. Per ciascun tipo di vulnerabilità verranno forniti metodi per trovare, risolvere e prevenire ciascun tipo di difetto. In questa parte del corso viene descritta una metodologia chiamata How to break software composta di 17 steps per testare il software in maniera efficiente ed efficace. I partecipanti impareranno a pianificare il testing on the fly, a sviluppare un modo per individuare i bugs difficili-da-trovare, come testare Input e Output dell User Interface, come testare il File System Interface, come testare il software/os Interface e come usare Hodoleck Lite. Infine si parlerà di applicazioni Web e della loro facile vulnerabilità che non si può risolvere solo migliorando la sicurezza del network, ma applicando un modello di testing delle applicazioni Web. Il corso andrà ben al di là di OSWAP 10 per esaminare i 19 specifici attacchi alle applicazioni Web. PARTECIPANTI Software Testers Sviluppatori software Managers di sviluppo e testing Auditors di sicurezza Analisti e Consulenti di Information Security Specialisti di Quality Assurance Si ricorda ai partecipanti di portare il laptop dotato di wireless card per accesso alla rete. PARTE A 1. Introduzione alla Software Security I più comuni errori e difetti nel design e coding del software Questa sessione spiegherà le tipologie di errori e difetti nello sviluppo software che creano problemi di sicurezza, affidabilità, disponibilità e riservatezza. In particolare verranno trattate quelle vulnerabilità che sono comuni nei linguaggi di implementazione (C, C++ e Java). Per ciascun tipo di vulnerabilità verranno forniti esempi reali e metodi per trovare, risolvere e prevenire ciascun tipo di difetto. System-Level Accettare files arbitrari come parametri, passwords di default o deboli, permettere Paths relativi o di default Offrire back Doors amministrative, software e di servizio, linking e loading dinamici, Shells, Scripts e Macro Problematiche sui Dati Problemi di Parsing Integer Overflows Information Disclosure Storing Passwords in Plain Text Il Swap File e le cancellazioni incomplete Creazione di Temporary Files Lasciare cose in memoria Chiavi deboli e generazione random di numeri On the Wire Verificare l identità di un host remoto (Spoofing) Offrire spontaneamente troppe informazioni Protocolli proprietari Loops, Self References e Race conditions Tools

3 2. Vulnerabilità del Web Web Sites Cross Site Scripting; Forceful Browsing; Paramater Tampering Corrompere i cookies; Trusting SSL; manipolazione del campo nascosto SQL Injection; Sicurezza sul Cliente; Trusting the Domain Security Model 3. Principi di Coding Difensivo Questa sessione è progettata per educare sviluppatori e testers ai principi generali del Secure Coding. Questo include, oltre ad una prospettiva storica sulla software failure, anche 18 principi di Coding difensivo. 4. Security Testing e Qualità Assurance Questa sessione spiega la differenza fra testing funzionale e testing di sicurezza, come capire gli entry points dell applicazione, come individuare le tre classi di security bugs: input pericolosi, ambienti attrezzati e vulnerabilità logiche. PARTE B Raccogliere informazione sul target Come sono costruite le applicazioni Web Attacco 1: cercare informazioni nei commenti HTML Attacco 2: indovinare nomi di files e directories Attacco 3: vulnerabilità nelle applicazioni esempio Attaccare il Client La necessità di una UI ricca Attacco 4: selezioni fuori dai ranges Attacco 5: validazione dal lato Client Attaccare lo Stato Perché è importante Attacco 6: campi nascosti Attacco 7: parametri cgi Attacco 8: Cookies Attacco 8: forceful browsing Attacco 9: session hijacking Attaccare i Dati Attacco 10: Cross-site Scripting Attacco 11: SQL Injection Attacco 12: directory traversal Attacco 13: buffer overflows Attacco 14: canonicalization Attacco 15: attacchi alle stringhe nulle Attaccare il Server Attacco 17: SQL injection II Stored Procedures Attacco 18: command injection Attacco 19: fingerprinting the Server Attacco 20: Death by 1000 cuts (DOS) Attacco 19: falsificare la crittografia Attacco 20: violare l autenticazione base Attacco 21: Cross Site Tracing Web Services Andare verso i Web Services Attacchi comuni Vincoli sull input e l output Attacco 22: attacchi specifici per i Web Services Privacy Chi sei, dove sei stato Metodi per raccogliere i dati Tools di supporto Un esame dei tools di Web security/vulnerability scanning Introduzione a HolodeckWeb PARTE C Una metodologia step-by-step e modellli per un efficace software testing Un piano per on-the-fly testing Come sviluppare un intuito per trovare i bugs difficili Come attaccare Inputs e Outputs dall interfaccia utente Come attaccare dati e elaborazioni dall interfaccia utente Come attaccare la File System Interface Come attaccare l interfaccia software/os Come usare tools per l immissione di difetti per il testing di File System e OS Vulnerabilità dal vivo In questa sessione i partecipanti sperimenteranno una vasta gamma di vulnerabilità software attraverso dei laboratori su: cross-site scripting, SQL Injection, buffer overflows, format string vulnerabilities e molte altre vulnerabilità software. Tools e Minacce La minaccia è crescente e così il numero di tools che abbassano gli impedimenti per gli aggressori. La sessione introduce i clienti nel mondo dei tools usati dagli attackers. Pensare come un hacker: Threat Modeling Uno step critico nella sicurezza software o di sistema è quello di pensare metodicamente attraverso le minacce. In questa sessione verranno presentate numerose tecniche per il modeling della minaccia. Incorporare minacce all interno del design, sviluppo e testing del software e dei sistemi Pensare in termini di minacce in ciascuno stadio del ciclo di vita di sviluppo può rendere il software e i sistemi molto più resistenti agli attacchi. Reverse Engineering.

4 " INFORMAZIONI QUOTA DI PARTECIPAZIONE 2400 (+iva) La quota di partecipazione comprende documentazione, colazioni di lavoro e coffee breaks. CONDIZIONI GENERALI In caso di rinuncia con preavviso inferiore a 15 giorni verrà addebitato il 50% della quota di partecipazione, in caso di rinuncia con preavviso inferiore ad una settimana verrà addebitata l intera quota. In caso di cancellazione del seminario, per qualsiasi causa, la responsabilità della Technology Transfer si intende limitata al rimborso delle quote di iscrizione già pervenute. MODALITÀ D ISCRIZIONE Il pagamento della quota, IVA inclusa, dovrà essere effettuato tramite: bonifico sul c/c N della Banca Intesa S.p.A. Ag. 3 di Roma CIN Y - ABI CAB intestato alla Technology Transfer S.r.l. e la ricevuta di versamento inviata insieme alla scheda di iscrizione a: TECHNOLOGY TRANSFER S.r.l. Piazza Cavour, ROMA (Tel Fax ) entro il 18 Settembre 2006 Vi consigliamo di far precedere la scheda d iscrizione da una prenotazione telefonica. LUOGO Roma, Residenza di Ripetta Via di Ripetta, 231 DURATA ED ORARIO 5 giorni: È previsto il servizio di traduzione simultanea TUTELA DATI PERSONALI Ai sensi dell art. 13 della legge n. 196/2003, il partecipante è informato che i suoi dati personali acquisiti tramite la scheda di partecipazione al seminario saranno trattati da Technology Transfer anche con l ausilio di mezzi elettronici, con finalità riguardanti l esecuzione degli obblighi derivati dalla Sua partecipazione al seminario, per finalità statistiche e per l invio di materiale promozionale dell attività di Technology Transfer. Il conferimento dei dati è facoltativo ma necessario per la partecipazione al seminario. Il titolare del trattamento dei dati è Technology Transfer, Piazza Cavour, Roma, nei cui confronti il partecipante può esercitare i diritti di cui all art. 13 della legge n. 196/2003. KEN VAN WYK FONDAMENTI DI SECURE CODING E METODI DI TESTING CONTRO LE VIOLAZIONI DEL SOFTWARE Roma 2-6 Ottobre 2006 Residenza di Ripetta Via di Ripetta, 231 Quota di iscrizione: 2400 (+iva) In caso di rinuncia o di cancellazione dei seminari valgono le condizioni generali riportate sopra. nome... cognome... funzione aziendale... azienda... partita iva... codice fiscale... indirizzo... città... cap... Timbro e firma È previsto il servizio di traduzione simultanea provincia... telefono... fax Da restituire compilato a: Technology Transfer S.r.l. Piazza Cavour, Roma Tel Fax info@technologytransfer.it

5 DOCENTE Ken Van Wyk è un riconosciuto esperto di Information Security di fama internazionale, autore del libro Incident Response and Secure Coding. È columnist di esecurityplanet e Visiting Scientist al Software Engineering Institute della Canergie Mellon University. Ha più di 20 anni di esperienza nel settore dell IT Security, ha operato a livello accademico, militare e nei settori commerciali. Ha occupato posizioni tecniche prestigiose alla Tekmark, Para-Protect, SAIC oltre che al Dipartimento della Difesa e alle Università di Canergie Mellon e Lehigh. È stato membro e chairman del comitato esecutivo di FIRST (Forum of Incident Response and Security Teams) ed è stato uno dei fondatori di CERT (Computer Emergency Response Team).