Proactive Security Strategy

Er is nu ook een manifesto voor security. Lees er meer over  op InfoQ. Wat vinden jullie van dit manifesto? Wat voegt dit toe?

Announcement_OWASP-NL_May_20th_2010

OWASP-NL Chapter Meeting announcement
May 20th 2010: Web Application Firewalls

Program:

18:00 – 18:30 Check-In (catering included)

18:30 – 18:45 Introduction (OWASP organization, projects, sponsor)
18.45 – 19.45 Web Application Firewalls in dynamic environments(by Alexander Meisel)
Alexander Meisel is the CTO of ‘art of defence’ (AOD), a German based software vendor. The company specializes in high performance deployments of Web Application Firewalls in very dynamic environments all over the world.
Abstract:
The current trend towards cloud computing forces everybody to deploy services in a virtual environment. In current dedicated environments WAFs or Web Application Firewalls are mostly deployed as a hardware (black) box which is easy at first but limits them to only low performance web cluster architectures. Moving those systems virtualized into a cloud environment makes almost no sense because of the resource limitations.
The is solution is a redesign which enables WAFs to be part of a true message based cloud system. This talk explains how truly virtualized and distributed web applications are architected, work and scale in high performance environments
19.45 – 20.00 Break
20.00 – 21:00 Bypassing Web Application Firewalls (by Sandro Gauci).
Sandro Gauci is the owner and Founder of EnableSecurity (www.enablesecurity.com) where he performs R&D and securityconsultancy for mid-sized companies. Sandro has over 9 years experience in the security industry and is focused on analysis of security challenges and providing solutions to such threats. Hispassion is vulnerability research and has previously worked together with various endors such as Microsoft and Sun to fix security holes. Sandro is the author of the free VoIP security scanning suite SIPVicious (sipvicious.org) and VOIPPACK for CANVAS.
Abstract:
WAFs or Web Application Firewalls are being deployed to fix security issues in your web applications. The question is, are they?
In this presentation we take a look at some of the issues related to making use of this solution and how it may affect the overall security posture of your web application. Finally we will describe tools to automate detection of WAFs, and also tools to help identify ways to bypass WAFs. This presentation will include updates to the open source WAF security testing tools – WAFFIT.
21.00 – 21:30 Discussion, questions and social networking

Location: http://www.setuputrecht.nl/
SETUP is gevestigd aan het Neude plein in Utrecht (Neude 4) in het nieuwe kantoor van de Dutch Game Garden
(entrance at the back of the ABNamro building on “het Neude”).

If you want to attend, please send an email to Netherlands@owasp.org

PaSS-ende antwoorden?
Is uw informatie veilig en betrouwbaar?

Zijn uw processen compliant?

Datum: 22 april 2010

Locatie: Hampshire Plaza in Groningen

Aanmelden: evenementen.sogeti.nl

-         Bent u compliant met alle wet- en regelgeving?

-         Zijn uw elektronische dossiers veilig?

-         Voldoet u aan de Wet Bescherming Persoonsgegevens?

-         Verspreidt u email volgens de nieuwste Telecomwet regels?

-         Hoe heeft u ‘het voldoen aan bovenstaande regels’  gecontroleerd?

Mogelijk fronst u toch uw wenkbrauwen bij een aantal van deze vragen. Weet u zeker of -en hoe- dit alles geregeld is?

In een beperkt deel van uw kostbare tijd leggen we u uit hoe u méér zekerheid kunt krijgen. We leggen uit hoe u compliant kunt worden aan -voor u geldende- normen en/of wetten.

Sogeti’s aanpak hiervoor heet Proactive Security Strategy, ofwel PaSS, en zorgt ervoor dat u uw compliancy kunt aantonen op elk door u gewenst security gebied. Aantoonbaar voor uzelf, maar ook voor uw auditors/accountant.

PaSS doet dit vanuit een brede en integrale invalshoek die zowel uw infrastructuur, uw applicatielandschap alsook uw organisatorische processen omvat.

Is uw organisatie niet compliant ten aanzien van belangrijke regels? Is dan deze bewustwordingscampagne iets voor u? In dat geval ontvangen we u graag als onze gast op 22 april as.

Programma

Aanmelden: evenementen.sogeti.nl

Hampshire Hotel – Plaza Groningen
Laan Corpus den Hoorn 300
9728 JT Groningen

J.D. Meier has posted an useful catalog of Microsoft patterns & practices resources. These also include some security related ones.

• Azure Security Guidance
• A Guide to Claims–based Identity and Access Control
• Improving Web Application Security: Threats and Countermeasures
• Improving Web Services Security: Scenarios and Implementation Guidance
• Security Engineering Explained

Do you use any other (non Microsoft) security resources? Leave a comment.

The Web Application Security Consortium (WASC) has made a very hany cross-reference. As it states on their website:

“This view contains a mapping of the WASC Threat Classification’s Attacks and Weaknesses with MITRE’s Common Weakness Enumeration, MITRE’s Common Attack Pattern Enumeration and Classification, OWASP Top Ten 2010 RC1 (original mapping with OWASP Top Ten from Jeremiah Grossman & Bill Corry) and SANS/CWE and OWASP Top Ten 2007 and 2004 (original mapping from Dan Cornell, Denim Group)”

The 49-listed WASC Threat Classifications are all mapped to atleast one of the other lists. A really helpfull guide when you use automated scanners and their report templates don’t match.

Here is the link.

J.D. Meier heeft een interessante post over Security en Agile.

Rather than make security a big up front design or doing it all at the end or other security approaches that don’t work, we’re baking security into the life cycle.  The key here is integrating security into your iterations.

Leuke blogpost op Verizon Business Security. Hierin komt naar voren dat bij 86% van alle aanvallen, een zwakheid in een website wordt gebruikt. Dit staat in schril contrast met de 14% die via het netwerk worden gedaan. Hier is dus een duidelijke aanwijzing dat het niveau van software ontwikkeling niet daar is waar het wezen moet. Blijkbaar wordt nog te gemakkelijk gedacht over het plaatsen van applicaties op het web, zoals jaren geleden gedacht werd over het plaatsen van servers aan het internet.

Aan de andere kant geeft mij dit het goede gevoel dat ik met software beveiliging de komende jaren wel goed zit.

Security testing is always very thankful, many defects, many examples for the trainer of a course. Sir Wilfred Grenfell once said:

“Real joy comes not from ease or riches or from the praise of men, but from doing something worthwhile.”

He mentioned this quote while he was helping others with medical support. But this quotation is also true for me if I’m executing a security test. Because the vulnerabilities you find can often create danger for the owner of the data. Because these vulnerabilities (defect) affect for example the availability.

In this post I want to describe how the combination of some defects can lead to huge problems for the owner of the application. The defects have an effect on the confidentiality, integrity and availability of the application.

Sometimes finding security defects is very easy. Maybe you can imagine an “SQL Syntax Error message” like this one:

If you’re not aware of security this error message is not more than a jammer for you. But if you realize that this message is created by only a single ‘ in a search field you find a great entry point for a SQL-injection! What happens is that this single ‘ make the syntax of the statement at the background corrupt. In other words this happens if there is a conjunction between the data and the logic. These two must be separated, but are combined into one statement. Instead of executing the statement with date will he execute the data like it is a statement.

This single defect is not a threat on its own, but if you combine this with other statements you can, for example, make a copy of the database or just enter the commando ; DROP  database (don’t try this at work).

Examples
The next 4 defects show you how a combination of data and logic can lead to a real threat. Imagine for example an electricity provider with a web portal for its end users. To login you need to fill your region code, username and password. 4 defects we found:

1. When you “Right click” in the login page, the “show source” option will give you the source code of this page. Sometimes you’ll find //comments in the code. These comments are often interesting but they are more interesting if they describe that there is a default region code in case a user leaves this field empty. You first defect is: It’s possible to get a third part of the login code, the region code.
2. The next test you execute is; how many times can I log in with an incorrect combination of username and password? If this is ten times or more, you’re quite sure the account will not lock after 100 times. Your second defect is: It’s possible to brute force the combination of username and password.
3. While you’re browsing through the application you see only a short URL like “www.myelectricityprovider.net”. If you right click you can see the settings of this button. Within these settings you’ll find the direct URL. Copy and paste this URL and now you see an ID. Change this ID into an ID of someone else you can sometimes enter that specific account. The defect you found is a big one, because no one can trace this ’normal‘ use.
4. If you go with the account, that isn’t yours, to the account setting page, you can see the personal settings. If you can see the password in text here, like “Welcome01” you have another defect. For security reasons it’s not a good choice to save the passwords non-hashed in the database.

This combination of defects has his impact at the confidentiality, integrity and availability.

• You can lock all accounts with changing the passwords; nobody can enter his account at this moment. The application is threaten at the availability.
• Hacking the account of someone else affect also the confidentiality. Because you as the account owner are not the only one that can see your personal data.
• The integrity can be damaged by changing the personal data.

A hacker will step by step gather information and attack deeper and deeper into the application. Also these defects on their own create a risk, but the combination of these gives a lot of features to those that haven’t the permissions to use YOUR account.

Use your imagination to make these combinations and you’ll see you’re doing something that’s worthwhile.

De mensen die met de overheid te maken hebben en bezig zijn met beveiliging krijgen te maken met de AV23. In deze vorm bedoel ik niet de “Athletische Vereeniging 1923 Amsterdam”, maar is de publicatie ‘Beveiliging van persoonsgegevens’ die door het Cbp (Centrum bescherming persoonsgegevens) is uitgegeven. De AV23 bevat een groot aantal richtlijnen die helpen met het bepalen van het risico niveau bij het soort persoonsgegevens. Daarnaast worden er een behoorlijk aantal maatregels genoemd die moeten helpen om de informatie binnen een bepaalde klasse veilig te houden.

Maar wat betekend dit nu voor jouw als ontwikkelaar. Hoe kan jij nu controleren of je wel de juiste dingen gedaan hebt die van je verwacht worden. Hier kan de Application Security Verification Standard (ASVS) van de Open Web Application Security Project (OWASP) bij helpen. De ASVS is een basis voor het controleren van beveiligingseisen voor webapplicaties. Deze controles zijn verdeeld in vier niveaus die cumulatief zijn. Dus om level drie te kunnen halen moeten ook alle eisen voor level een en twee ook gehaald zijn.

Hier komt nu het mooie van deze niveaus, deze zijn redelijk goed te mappen op de risico klassen uit de AV23.

In de ASVS voor niveau 1 wordt gezegd dat dit goed is voor applicaties waar zekerheid rond de beveiliging moet zijn, risicoklasse 0 geeft geen extra eisen dan welke noodzakelijk zijn voor zorgvuldige bedrijfsvoering.

ASVS niveau 2 is typisch toepasbaar voor applicaties dat persoonlijke transacties verwerkt of persoonlijke identificeerbare gegevens verwerkt, risicoklasse 1 heeft het over beperkt aantal persoonsgegevens.

Op deze manier kunnen ook de volgende niveaus op elkaar gemapt worden. Met deze mapping heb je duidelijk wat er van je verwacht wordt om te kunnen zeggen dat de applicatie aan de gevraagde risico klasse voldoet.