KOLME KEINOA OHJELMISTOTURVALLISUUTEENAnne OikarinenSenior Security Consultant

TARINOITA TIETOMURROISTA

29.3.2017

DoS

DoSDoS

DoSDoS

DoSDoS

DoS

DoSDoS

ESINEIDENREIKÄISTEN WEB-PALVELIMIEN

INTERNET

29.3.2017

ONKO KÄYTTÄJÄN ANTAMA SYÖTE TURVALLISTA?

ZyXEL-kotireititin: Komentojen injektointi lokienkatselun kautta1. Lokeja saa katsella tunnistautumatta 2. Syötettä ei tarkisteta3. Käyttäjän antama syöte suoritetaan

29.3.2017

https://blogs.securiteam.com/index.php/archives/2910

JOKO SINULLAKIN ON EXPLOIT KIT?

29.3.2017

https://www.viestintavirasto.fi/kyberturvallisuus/tietoturvanyt/2016/04/ttn201604151223.html

https://blogs.technet.microsoft.com/mmpc/2017/01/23/exploit-kits-remain-a-cybercrime-staple-against-outdated-software-2016-threat-landscape-review-series/

29.3.2017

http://yle.fi/uutiset/3-9443283

29.3.2017

http://www.tivi.fi/Kaikki_uutiset/wordpress-jatti-kertomatta-kriittisen-aukon-paikkaamisesta-syy-kuitenkin-melko-hyva-6621374

HAAVOITTUVUUKSIEN HYÖDYNTÄMINEN ON HELPPOA

29.3.2017

Kuinka nämä olisi voitu estää?Tai ainakin pienentää vahinkoja

29.3.2017

Lokitus

Testaus

Uhkamallinnus

KOLME KEINOA TURVALLISEMPIIN OHJELMISTOIHIN

29.3.2017

UHKAMALLINNUS − MIKÄ VOI MENNÄ PIELEEN?

29.3.2017

Haavoittuvuus verkkosivulla

Tietomurto palvelimelle

Käyttäjä-tiedot

varastetaan

Sivulta levitetään

haittaohjelmia

Yrityksen maine menee

Koodari saa potkut

Käyttäjän salasana arvataan

• Uhkamallinnus• HyökkäyspinnatSprint 1

Sprint 2

• Tarkista uhkamalli• JäännösriskitSprint n

UHKAMALLIN PERUSTEELLA SUOJATOIMENPITEET

29.3.2017

Testaajat

Devaajat

Product Owner

Bugit

Testi-tapaukset

Backlog

Dokumen-taatioTietoturva-

asiantuntija

STRIDE-MALLI ARKKITEHTUURIN JA TIETOVUON TARKASTELUN TUEKSI

29.3.2017

(S) Spoofing

(T) Tampering

(R) Repudiation

(I) Information Disclosure

(D) Denial of Service

(E) Elevation of Privilege

Tieto-kanta

WWW-palvelin

Selain

Mobiili-sovellus

Tietokanta-hallinta Lokien-

hallinta

”People are not, as is often claimed, the weakest link or beyond help. The weakest link is almost always a vulnerability in Internet-facing code.”

Adam ShostackThreat Modeling – Designing for Security

29.3.2017

29.3.2017

MONTA OWASP TOP 10 –ONGELMAA LÖYTYY AUTOMAATIOLLA

29.3.2017

MitäURLissa

näkyy

XSS ja muut

injektiot

CSRF

Haavoittuvatkomponentit

TLS-asetukset

Virhe-viestit

AUTOMATISOI MAHDOLLISIMMAN PALJONSiten manuaalisessa tietoturvatestauksessa ehtii enemmän ja löytyy mielenkiintoisempia löydöksiä.

29.3.2017

TESTAA MONIPUOLISESTI JA ERI NÄKÖKULMISTA

29.3.2017

Pääte-laitteensalaus

Logiikka

Ovatkoturva-

ominai-suudet

vaikeita?

Evil test

cases

Käytettä-vyys

MINIMOI KÄYTTÄJÄN ÄRSYTYS

29.3.2017

Tieto-murtojen

selvittäminen

Lain vaati-

mukset

Debug

MIKSI PITÄÄ LOKITTAA?

29.3.2017

KULTAKUTRIN LOKIENHALLINTA

29.3.2017

Lokia ei ole tai se on hyödytöntä

• Gigakaupalla• Salasanoja, API-

avaimia, henkilötietoja

• Irrelevantteja tietoja

• Kiistämättömyys• Sanitointi• Vianselvitys tai

tietomurron tutkinta onnistuu

• Synkronoituja

Lokitus

Testaus

Uhkamallinnus

KOLME KEINOA TURVALLISEMPIIN OHJELMISTOIHIN

29.3.2017

www.nixu.fi

/nixuoy

@nixutigerteam

/company/nixu-oy