Introducing 

Prezi AI.

Your new presentation assistant.

Refine, enhance, and tailor your content, source relevant images, and edit visuals quicker than ever before.

Prezi logo
Log in
Loading…

Murphys onda tvilling

Button to report this contentButton to embed this content on another site
SP

Stefan Pettersson

Transcript

TOM

VÄNTAD

OVÄNTAD

OND

"The amount of code within a system that can be run by an unauthenticated user." -Wikipedia

dörrvakten med nedsatt syn

lååångt felmeddelande

Murphys onda tvilling

(1) murphys tvilling

buggar

en hackers syn på bra design

problem

"murphy"

"jeff" (ond tvilling)

Försöker ta reda på vad vi inte tänkt på.

Gör sånt vi inte tänkt på.

Försöker aktivt tvinga fram felmeddelanden.

Ringer supporten om

det inte fungerar.

Får felmeddelanden,

blir irriterad.

Anpassar indata för att förvirra programlogiken.

Anger datum i fel format.

beräknande

inledning

Testar systematiskt att göra saker i fel ordning.

Råkar ibland göra saker i fel ordning.

Provar att utelämna vissa data.

Glömmer att fylla i vissa fält.

Acceptanstestens konung.

exempel

Iakttagelser

Enkät

Det finns inget spår för säkerhet på konferensen.

Det här är den enda presentationen rörande säkerhet i utvecklingsspåret.

Säkerhet var näst sist i listan över föreslagna ämnen.

Det här verkar vara den enda presentationen om säkerhet på hela Sundsvall 42.

Hur många är programmerare?

Hur många arbetar med utveckling?

prolog

Hur många arbetar uteslutande med webbtillämpningar?

"Reliable software does what it's supposed to do. Secure software does what it's supposed to, and nothing else." -Ivan Arce

"Pålitlig mjukvara gör vad den är avsedd att göra. Säker mjukvara gör vad den är avsedd, och inget annat." -Ivan Arce

whoami

Stefan

Pettersson

Att presentera ett antal designprinciper som premierar säkerhet.

Achtung!

Mål

(2) säker design

Att introducera Murphys tvilling Jeff.

security features != secure features

Jag är tyvärr inte programmerare.

Det här handlar inte bara om webbapplikationer.

bra design

Att dessa principer kommer att användas i större utsträckning.

2 tolkningar

Syfte

Att Jeff hamnar mer i fokus.

antivirus

trafik krypterad med 256 bit AES

fem nivåer av åtkomstkontroll

krav på komplexa lösenord med >10 tecken

IIS Doble Decode...

tvåfaktorsautentisering

Input: http://target/scripts/..%255c..%255cwinnt/system32/cmd.exe?/c+dir+c:\

Decode #1: http://target/scripts/..%5c..%5cwinnt/system32/cmd.exe?/c+dir+c:\

Decode #2: http://target/scripts/../../winnt/system32/cmd.exe?/c+dir+c:\

don't mix code and data

minimize attack surface

bra design

lösningar

never trust external systems

Hur många processer körs?

Hur många tcp-/udp-portar lyssnar?

Hur många indatafält finns i protokollet?

Hur många externa system är vi i beroendeställning till?

Vad gäller då för dessa system?

...

bra design

str = "SELECT * FROM table WHERE username = " + user + " AND password = " + password;

sql.query(str);

a.k.a. "all input is evil"

a.k.a. "never take shit from anyone"

a.k.a. "ta inte emot godis från främlingar"

kod

data

filer

webbtjänster

databaser

data från

användaren

process

registret

attackyta

sidetrack

sammanfattning

"det stora skiftet"

fail safe

minimize feedback

bra design

felmeddelanden & informationsläckage

use least privilege

När det går åt pipan ska det inte leda till att en angripare har bättre förutsättningar än innnan.

bra design

Ge inte alla nyckeln till kassaskåpet.

OpenBSD

Stolen from Henning Brauer & Sven Dehmlow

http://quigon.bsws.de/papers/aalborg2009/

if authc == OK

accept

else

reject

if authc == FAIL

reject

else

accept

Drop your rights! Now!

Rättigheter.

Släpp de som inte krävs.

Släpp dem direkt

epilog

security features != secure features

broken security features

unecessary security features

fail safe

use least privilege

minimize attack surface

don't mix code and data

minimize feedback

never trust external systems

Frågor?

http://www.hps.se/

Kunskapsnätet

(3) en hackers syn

stefan.pettersson@hps.se

Bloggen på High Performance Systems hemsida.

Murphy v. Jeff

NIST

exempel

StrongWebmail

National Vulnerability Database

"Fastighetsservice AB"

Ange användarnamn och lösenord.

Få tresiffrig kod via telefonsamtal eller SMS.

Helt vanlig tvåfaktorsautentisering.

(1) Visa att du kan det hemliga lösenordet.

(2) Visa att du har kontroll över en föranmäld telefon.

Fakturor från leverantörer.

Skjut inte på en stridsvagn framifrån.

"Mediebolag AB"

Skyddsnät?

Twitter

Äh!

How to hack Twitter #1

How to hack Twitter #3

and so on...

How to hack Twitter #0

How to hack Twitter #2

Choose a template

Constellations (AI Assisted)

Illuminate your ideas with our captivating Constellations Prezi AI-assisted presentation template, merging celestial elegance with professional design to elevate your content and guide your audience through a stellar visual experience.

Colorful Nature - Dark (AI Assisted)

A whimsical flower motif sets the fun tone for this Prezi AI-assisted presentation template. Just add your own text, images, videos, or other content to create a memorable and engaging presentation your audience will love. Like all Prezi templates, it’s easily customizable.

Sheet Music (AI Assisted)

Elevate your presentations with our Sheet Music Prezi AI-assisted presentation template, seamlessly blending aesthetics and functionality for a harmonious visual experience.

Presentations from around the world

EMPRESA

marta meca

MAVO CVIČENÍ VZOR

Valerie Brůnová

Marketing Presentation

Arevik Abrahamyan

Learn more about creating dynamic, engaging presentations with Prezi
Why Prezi is better