RAT01P1 / RAT01P2 Gare aux fraudes et aux pirates avec IBM Rational AppScan Corinne Blanchard Fréderic Michel Blanchard_c@fr.ibm.com fredericmichel@fr.ibm.com
Agenda L importance et l impact de la sécurité applicative sur une entreprise Cas réels de braquage des applications web et leur conséquences Pirater un site web, est-ce facile? Comment automatiser la sécurité des applications Web Rational AppScan Standard Edition Developer Edition Démonstrations 2
Sécurité Le mythe : «Notre site est sécurisé» Nous avons installé des parefeu Nous auditons nos applications une fois par trimestre Nous utilisons des scanners de vulnérabilité de réseau Nous utilisons un encriptage SSL 3
Agenda L importance et l impact de la sécurité applicative sur une entreprise Cas réels de braquage des applications web et leur conséquences Pirater un site web, est-ce facile? Comment automatiser la sécurité des applications Web Rational AppScan Standard Edition Developer Edition Démonstrations 4
Impact sur les entreprises 1. Perte de données clients 2. Perte de la confiance des clients envers l entreprise 3. Effets négatifs sur la marque 4. Amendes et pénalités 5
Perte de données clients En 2008, l analyse de 90 attaques montre que 81% des entreprises concernées n étaient pas conformes avec les normes PCI Il est possible que les autres entreprises (19%) étaient elles aussi non conformes au moment de la rupture Nombre total de dossiers clients perdus: 285 millions + 130 millions (août 2009) 84% de l information volée était les données de cartes clients http://www.verizonbusiness.com/resources/security/databreachreport.pdf 6
Perte de la confiance des clients envers l entreprise La confiance des consommateurs favorise les ventes sur Internet 7
Effets négatifs sur la marque Suite au vol des informations concernant 40 millions de clients, la valeur boursière de CardSystems Inc. est passée de 1 milliard de $ à $130M 8
Amendes et pénalités VISA a imposé des amendes pour non-conformité 1 : En 2005, $3.4 million En 2006, $4.6 million Coût estimé d une faille pour TJX Companies: 1.6 milliard 2 Arrangement à l amiable avec MasterCard: $24 million 3 Arrangement à l amiable avec VISA: $41 million 4 1 http://pcistuff.blogspot.com/2006/12/pci-fines-teeth-of-pci-dss-compliance.html 2 http://hackreport.net/2007/04/12/inside-job-tjx-cost-of-breach-estimated-at-16-billion/ 3 http://news.bostonherald.com/news/regional/view.bg?articleid=1084541&srvc=next_article 4 http://www.ecommercetimes.com/story/tjx-to-shell-out-41m-in-data-breach-settlement-60554.html 9
Agenda L importance et l impact de la sécurité applicative sur une entreprise Cas réels de braquage des applications web et leur conséquences Pirater un site web, est-ce facile? Comment automatiser la sécurité des applications Web Rational AppScan Standard Edition Developer Edition Démonstrations 10
OWASP et le Top 10 Open Web Application Security Project Open organization dedicated to fight insecure software www.owasp.org OWASP Top Ten Represents broad consensus of the most critical web application security flaws Updated 2007 Other valuable documents and projects Development Guide Code Review Guide Testing Guide 11
OWASP Top 10 Threat Negative Impact Identity Theft, Sensitive Information OWASP Top 10 Vulnerabilities Cross Site scripting Leakage, Browser control Example Impact Hackers can impersonate legitimate users, and control their accounts. Injection Flaws Malicious File Execution Insecure Direct Object Reference Cross-Site Request Forgery Information Leakage and Improper Error Handling Broken Authentication & Session Management Insecure Cryptographic Storage Insecure Communications Failure to Restrict URL Access Attacker can manipulate queries to the DB / LDAP / Other system Execute shell commands on server, up to full control Attacker can access sensitive files and resources Attacker can invoke blind actions on web applications, impersonating as a trusted user Attackers can gain detailed system information Session tokens not guarded or invalidated properly Weak encryption techniques may lead to broken encryption Sensitive info sent unencrypted over insecure channel Hacker can access unauthorized resources Hackers can access backend database information, alter it or steal it. Site modified to transfer all interactions to the hacker. Web application returns contents of sensitive file (instead of harmless one) Blind requests to bank account transfer money to hacker Malicious system reconnaissance may assist in developing further attacks Hacker can force session token on victim; session tokens can be stolen after logout Confidential information (SSN, Credit Cards) can be decrypted by malicious users Unencrypted credentials sniffed and used by hacker to impersonate user Hacker can forcefully browse and access a page past the login page 12
Pirater un site Web : le Cross-Site Scripting (XSS) Permet aux attaquants d'exécuter un script dans le navigateur de la victime Commun dans les pages de recherche et d erreur Mais peut se retrouver dans n importe quel type de page Ceci permet au pirate de Voler les jetons de sessions (et donc détourner la sécurité du navigateur) Défacer des sites web Insérer du contenu hostile 13
14
XSS Exemple Code HTML: 15
XSS Exemple Code HTML: 16
Cross Site Scripting Le processus d exploitation Evil.org 1) Lien vers banque.com envoyé à l utilisateur par courriel ou HTTP User banque.com 17
Cross Site Scripting Le processus d exploitation Evil.org 1) Lien vers banque.com envoyé à l utilisateur par courriel ou HTTP 4) Le script envoi les jetons de session au pirate sans la permission de l utilisateur 5) Evil.org utilise l information volée pour se faire passer pour l utilisateur User 2) L utilisateur envoi le script banque.com 3) Script est retourné et exécuté par le navigateur 18
L exploitation du XSS En réusissant à exécuter du JavaScript sur un ordinateur, il devient possible de Voler les jetons de session du domaine concerné Suivre toutes les actions qui seront réalisées dans ce navigateur Rediriger l utilisateur vers un site de phishing Modifier le contenu d'une page visible par l utilisateur Exploiter les vulnérabilités du navigateur pour prendre le contrôle de la machine à distance XSS est la vulnérabilité la plus exploitée aujourd hui 19
Agenda L importance et l impact de la sécurité applicative sur une entreprise Cas réels de braquage des applications web et leur conséquences Pirater un site web, est-ce facile? Comment automatiser la sécurité des applications Web Rational AppScan Standard Edition Developer Edition Démonstrations 20
IBM Rational AppScan Leader mondial indiscutable Positionné #1 des ventes Analyse automatique des applications Web pour identifier des vulnérabilités Injection SQL Cross-Site Scripting (XSS) Accent sur l éducation: Recommandations Formation en ligne Le résultat? Détecter les failles remettant en cause la conformité PCI Adresse directement les exigences 6.3 et 6.6 de la norme PCI DSS 21
Security Environnement d applications Web Scanners d applications Web Application Web Services Web Scanners réseau Serveur Web Base de données Système d exploitation Scanners de bases de données Scanners système 22
Quels sont les composants testés par AppScan? Applications Web AppScan Composants Tiers Configuration Serveur Web Serveur Web Base de Données Applications Système d Exploitation Réseau 23
AppScan va au-delà de la détection des vulnérabilités Explore source code and/or web site to detect structure Identify Vulnerabilities ranked after severity and show how it was identified Advanced remediation, fix recommendations and security enablement 24
Sécurité et conformité dans le processus de développement Cycle de vie du développement logiciel (SDLC) Développement Build AQ Sécurité Production Développeurs Activer la sécurité en vue d une correction efficace dans l environnement de développement Développeurs Développeurs Fournir aux développeurs et aux testeurs l expertise requise en matière de détection et de correction. S assurer que les vulnérabilités sont traitées avant la mise en production des applications. 25
IBM Rational AppScan Écosystème AppScan Enterprise // Reporting Console AppScan Developer Ed (desktop) AppScan Ent. QuickScan (web client) AppScan Build Ed (scanning agent) (scanning agent) (QA clients) AppScan Tester Ed AppScan Enterprise user (web client) AppScan Standard Ed (desktop) Rational Application Developer Rational Software Analyzer Rational ClearCase Rational BuildForge Rational Quality Manager AppScan Express (desktop) Rational ClearQuest / Defect Management Code Build security testing into the IDE* Build Automate Security / Compliance testing in the Build Process QA Security / compliance testing incorporated into testing & remediation workflows Security Security & Compliance Testing, oversight, control, policy, audits IBM Rational Web Based Training for AppScan 26
Agenda L importance et l impact de la sécurité applicative sur une entreprise Cas réels de braquage des applications web et leur conséquences Pirater un site web, est-ce facile? Comment automatiser la sécurité des applications Web Rational AppScan Standard Edition Developer Edition Démonstrations 27
AppScan: Principe de fonctionnement de la Standard Edition Aborde l application comme une boite noire Parcourt l application web et construit un modèle du site Détermine les vecteurs d attaque basés sur la politique choisie du test Teste en envoyant des requêtes HTTP modifiées à l application et en examinant les réponses HTTP selon les règles de validation Génère un rapport incluant des conseils et des recommandations sur les correction à réaliser HTTP Request Application Web Application HTTP Response Web Servers Databases 28
Agenda L importance et l impact de la sécurité applicative sur une entreprise Cas réels de braquage des applications web et leur conséquences Pirater un site web, est-ce facile? Comment automatiser la sécurité des applications Web Rational AppScan Standard Edition Developer Edition Démonstrations 29
Les points forts de Rational AppScan Developer Edition Conçu pour les Développeurs, pas pour des spécialistes de la Sécurité Libre-service Aucune expertise relative à la sécurité n est nécessaire S intègre naturellement dans le processus et les outils du processus de développement La meilleure Analyse de sécurité pour Application Web Total Potential Security Issues Static Runtime Dynamic Analysis Analysis Analysis Business Outcome Enable more people to contribute to security testing coverage with solutions for specific use cases Use case offerings facilitate the adoption of security with minimal disruption to existing objectives 30
Techniques d Analyse Utilisées Static Code Analysis <> Whitebox - Recherche directement dans le code des problèmes (analyse au niveau du code) Dynamic Analysis <> Blackbox - Soumission de tests vers une application en cours de fonctionnement Composite Analysis - Mélange de toutes les techniques de test pour améliorer l exactitude des résultats - Tire profit des qualités et surmonte les faiblesses individuelles de chacune des techniques String Analysis - Technique d analyse de Code en instance de Brevet IBM - Analyse de Code utilisée par le Scan Expert pour une configuration efficace de l analyse, afin d obtenir des résultats corrects Runtime Analysis / Correlation - Surveille le comportement et les réactions d une application en cours de fonctionnement à un niveau suffisamment détaillé pour identifier où se situe une vulnérabilité dans le code 31
Boite Noire Précision AppScan Boite DE Blanche Couverture du Code/path Pas besoin du code Source Couverture du Code Connaissance limitée à HTTP Supporte les Multi composants Nécessite une application déployée Peu de Pré requis Fonctionne tel un attaquant distant Limité au code fourni Plus que les validations HTTP Support des applications partielles Support en fonction du langage/framework Pas besoin de déployer une application Relativement approximatif Problème d Integration/deployement 32
AppSan DE en résumé Intégration continue dans le cycle de développement (plugin) Analyse automatisée du code 23 règles relatives à la sécurité Analyse statique & dynamique du code String Analysis Runtime Analysis Éducation des utilisateurs : Notion de sécurité Vulnérabilités identifiées Best practices Génération de rapports (via Reporting Console) Mise à disposition d extensions via le Forum 33
Agenda L importance et l impact de la sécurité applicative sur une entreprise Cas réels de braquage des applications web et leur conséquences Pirater un site web, est-ce facile? Comment automatiser la sécurité des applications Web Rational AppScan Standard Edition Developer Edition Démonstrations 34
35
The Scan Wizard 36
Easy to Understand Results Issues and Priorities 37
Understanding the Problem Integrated web-based training raises internal security expertise 38
Actionable Fix Recommendations 39
Request / Response Tab 40
PCI DSS v1.2 Compliance Report 41
AppScan Developer Edition 42
43
44
Learn more at: IBM Rational software IBM Rational Software Delivery Platform Process and portfolio management Change and release management Quality management Architecture management Rational trial downloads developerworks Rational IBM Rational TV IBM Rational Business Partners Copyright IBM Corporation 2007. All rights reserved. The information contained in these materials is provided for informational purposes only, and is provided AS IS without warranty of any kind, express or implied. IBM shall not be responsible for any damages arising out of the use of, or otherwise related to, these materials. Nothing contained in these materials is intended to, nor shall have the effect of, creating any warranties or representations from IBM or its suppliers or licensors, or altering the terms and conditions of the applicable license agreement governing the use of IBM software. References in these materials to IBM products, programs, or services do not imply that they will be available in all countries in which IBM operates. Product release dates and/or capabilities referenced in these materials may change at any time at IBM s sole discretion based on market opportunities or other factors, and are not intended to be a commitment to future product or feature availability in any way. IBM, the IBM logo, the on-demand business logo, Rational, the Rational logo, and other IBM products and services are trademarks of the International Business Machines Corporation, in the United States, other countries or both. Other company, product, or service names may be trademarks or service marks of others. 45