Maksajavirastotehtävät maakunnissa / Antti-Jussi Oikarinen & Jukka Pekonniemi Mavi
KOLME KEINOA OHJELMISTOTURVALLISUUTEENmediaday.metropolia.fi/soft2017/files/Oikarinen-kolmeke... ·...
Transcript of KOLME KEINOA OHJELMISTOTURVALLISUUTEENmediaday.metropolia.fi/soft2017/files/Oikarinen-kolmeke... ·...
KOLME KEINOA OHJELMISTOTURVALLISUUTEENAnne OikarinenSenior Security Consultant
TARINOITA TIETOMURROISTA
29.3.2017
DoS
DoSDoS
DoSDoS
DoSDoS
DoS
DoSDoS
ESINEIDENREIKÄISTEN WEB-PALVELIMIEN
INTERNET
29.3.2017
ONKO KÄYTTÄJÄN ANTAMA SYÖTE TURVALLISTA?
ZyXEL-kotireititin: Komentojen injektointi lokienkatselun kautta1. Lokeja saa katsella tunnistautumatta 2. Syötettä ei tarkisteta3. Käyttäjän antama syöte suoritetaan
29.3.2017
https://blogs.securiteam.com/index.php/archives/2910
JOKO SINULLAKIN ON EXPLOIT KIT?
29.3.2017
https://www.viestintavirasto.fi/kyberturvallisuus/tietoturvanyt/2016/04/ttn201604151223.html
https://blogs.technet.microsoft.com/mmpc/2017/01/23/exploit-kits-remain-a-cybercrime-staple-against-outdated-software-2016-threat-landscape-review-series/
29.3.2017
http://yle.fi/uutiset/3-9443283
29.3.2017
http://www.tivi.fi/Kaikki_uutiset/wordpress-jatti-kertomatta-kriittisen-aukon-paikkaamisesta-syy-kuitenkin-melko-hyva-6621374
HAAVOITTUVUUKSIEN HYÖDYNTÄMINEN ON HELPPOA
29.3.2017
Kuinka nämä olisi voitu estää?Tai ainakin pienentää vahinkoja
29.3.2017
Lokitus
Testaus
Uhkamallinnus
KOLME KEINOA TURVALLISEMPIIN OHJELMISTOIHIN
29.3.2017
UHKAMALLINNUS − MIKÄ VOI MENNÄ PIELEEN?
29.3.2017
Haavoittuvuus verkkosivulla
Tietomurto palvelimelle
Käyttäjä-tiedot
varastetaan
Sivulta levitetään
haittaohjelmia
Yrityksen maine menee
Koodari saa potkut
Käyttäjän salasana arvataan
• Uhkamallinnus• HyökkäyspinnatSprint 1
Sprint 2
• Tarkista uhkamalli• JäännösriskitSprint n
UHKAMALLIN PERUSTEELLA SUOJATOIMENPITEET
29.3.2017
Testaajat
Devaajat
Product Owner
Bugit
Testi-tapaukset
Backlog
Dokumen-taatioTietoturva-
asiantuntija
STRIDE-MALLI ARKKITEHTUURIN JA TIETOVUON TARKASTELUN TUEKSI
29.3.2017
(S) Spoofing
(T) Tampering
(R) Repudiation
(I) Information Disclosure
(D) Denial of Service
(E) Elevation of Privilege
Tieto-kanta
WWW-palvelin
Selain
Mobiili-sovellus
Tietokanta-hallinta Lokien-
hallinta
”People are not, as is often claimed, the weakest link or beyond help. The weakest link is almost always a vulnerability in Internet-facing code.”
Adam ShostackThreat Modeling – Designing for Security
29.3.2017
29.3.2017
MONTA OWASP TOP 10 –ONGELMAA LÖYTYY AUTOMAATIOLLA
29.3.2017
MitäURLissa
näkyy
XSS ja muut
injektiot
CSRF
Haavoittuvatkomponentit
TLS-asetukset
Virhe-viestit
AUTOMATISOI MAHDOLLISIMMAN PALJONSiten manuaalisessa tietoturvatestauksessa ehtii enemmän ja löytyy mielenkiintoisempia löydöksiä.
29.3.2017
TESTAA MONIPUOLISESTI JA ERI NÄKÖKULMISTA
29.3.2017
Pääte-laitteensalaus
Logiikka
Ovatkoturva-
ominai-suudet
vaikeita?
Evil test
cases
Käytettä-vyys
MINIMOI KÄYTTÄJÄN ÄRSYTYS
29.3.2017
Tieto-murtojen
selvittäminen
Lain vaati-
mukset
Debug
MIKSI PITÄÄ LOKITTAA?
29.3.2017
KULTAKUTRIN LOKIENHALLINTA
29.3.2017
Lokia ei ole tai se on hyödytöntä
• Gigakaupalla• Salasanoja, API-
avaimia, henkilötietoja
• Irrelevantteja tietoja
• Kiistämättömyys• Sanitointi• Vianselvitys tai
tietomurron tutkinta onnistuu
• Synkronoituja
Lokitus
Testaus
Uhkamallinnus
KOLME KEINOA TURVALLISEMPIIN OHJELMISTOIHIN
29.3.2017
www.nixu.fi
/nixuoy
@nixutigerteam
/company/nixu-oy