Software Freedom day Serbia - Owasp - informaciona bezbednost u Srbiji open source resenja

Informaciona bezbednost u Srbiji i open source rešenja

Nikola Milošević [email protected]

About Me

• OWASP Serbia local chapter leader

• OWASP anti-malware project contributor

• OWASP LC Srbija postoji od februara 2012

• Jednom mesecno predavanja na ETF

• Mailing lista

• https://www.owasp.org/index.php/Serbia

Informaciona bezbednost u Srbiji

• Ne obraća se pažnja na bezbednost

• Porast napada u poslednjih nekoliko godina

• Napadačke tehnike su u razvoju

• Ranjivi veliki sistemi (državne institucije, banke)

Informaciona bezbednost u Srbiji

Informaciona bezbednost u Srbiji

• Povećana kompeksnost malvera i napadačkih alata

• Radoznalost

• Cyber kriminal

• Hacktivizam

• Tehnološka špijunaža

• Cyber rat

Kako se zaštiti?

• Kako se zaštiti?

• Bezbedan kod

• Testiranje i retestiranje

• Be up to date (osvežavati znanje)

• Update softvera i korišćenih biblioteka

• Edukacija korisnika

OWASP Projekti

• 3 grupe OWASP projekata:

– Protect – Alati i dokumenti koji imaju ulogu da štite

– Detect – Alati i dokumenti koji imaju ulogu da nađu

– Life Cycle – Alati i dokumenti koji se koriste da bi dodali bezbednosne mehanizme u Software Development Lifecycle

Guides and documents

• OWASP Top 10

• OWASP Application Security Verification Standard

• OWASP Code Review Guide

• OWASP Testing Guide

OWASP Frameworks

• OWASP AntySami Project (Java,.NET)

– API za validiranje bogatih HTML/CSS unosa korisnika bez izloženosti cross-site scripting i phishing napadima

• OWASP Enterprise Security API (ESAPI)

– Slobodna i otvorena kolekcija svih bezbednostih metoda za kojima developer ima potrebu da bi napravio sigurnu web aplikaciju

• OWASP Mod Security Rule Set Project

– web application firewall engine

– Generička zaštita od ranjivosti koje se često nalaze u web aplikacijama

OWASP alati

• OWASP Code Crawler (beta)

– Statički alat za code review. Traži bezbednostne propuste u .NET i J2EE (java)

• OWASP Web Scarab Project

– Alat za vršenje bezbednostih testova na web aplikacijama

• OWASP Zed Attack Proxy

– penetration testing alat za nalaženje ranjivostu u web aplikacijama

– Koriste ga ljudi sa različitim iskustvom

– Toolsmith tool of the year 2011

Kozice

• Edukacioni projekat

• Želite li da naučite kako se testira bezbednost web aplikacija?

• Probajte Web Goat!

• Naučite da izvedete OWASP Top 10

• Drugi koziji projekti:

– GoatDroid

– iGoat

Non OWASP

• Nmap

• Sqlmap

• WireShark

• Snort

• ODESSA (Open Digital Evidence Search and Seizure Architecture)

• ...

Don’t get hacked

Protect yourself

Pitanja i diskusija

[email protected]