Desenvolvimento Seguro para PCI DSS

Apresenta os fatores que levam as empresas a exigir cada vez mais dos desenvolvedores o conhecimento de técnicas de desenvolvimento seguro.

• Apresentação de Caso: A Evolveris e o sistema de votação para Reitor
• Atualidade: Só restará um tipo de código, o seguro
• A Arte da Guerra: Conheça os diferentes tipos de Hacker e suas motivações
• A Única forma: O caso da Microsoft e a criação do SDLC
• Defesa em Profundidade

Os participante são apresentados aos principais padrões do PCI DSS e passam a entender qual padrão é mais adequado para qual tipo de aplicação

• O PCI DSS
• O PCI Software Security Framework
• O Secure Software Lifecycle

Apresenta os requisitos de desenvolvimento seguro do PCI Council

• Control Objective 1: Critical Asset Identification
• Control Objective 2: Secure Defaults
• Control Objective 3: Sensitive Data Retention
• Control Objective 4: Critical Asset
• Control Objective 5: Authentication and Access
• Control Objective 6: Sensitive Data Protection
• Control Objective 7: Use of Cryptography
• Control Objective 8: Activity Tracking
• Control Objective 9: Attack Detection
• Control Objective 10: Threat and Vulnerability
• Control Objective 11: Secure Software Updates
• Control Objective 12: Software Vendor Implementation Guidance

Olívia (Jurídico) e Wallace (CISO) desenham as políticas de retenção de dados e diretrizes para
comunicação com portadores de cartão de pagamento para atenderem ao PCI DSS.

• Retenção de Dados: apresenta os critérios utilizados para armazenamento de dados de cartões de pagamento nas aplicações desenvolvidas pela Evolveris, de acordo com o requisitos 1 do PA-DSS. Dentre os tópicos apresentados estão as trilhas de dados dos cartões, os dados nos chips EMV, o que pode ser armazenado e as exigências de eliminação segura dos dados

Os participante são apresentados ao projeto OWASP e ao Top 10, com a evolução das principais vulnerabilidades de 2013 a 2021

• O Projeto OWASP
• A Dança das ameaças
• OWASP TOP 10 2021

Atualmente 94% das aplicação testadas tiveram alguma forma de controle de acesso quebrado, o que tornou essa vulnerabilidade a mais importante a partir de 2021.

• Fases do acesso: Identificação, Autenticação e Autorização
• O Modelo reference Monitor
• DACL (Discretionary Access Control List) e SACL (Security Access Control List)

Os participante são apresentados aos princípios de criptografia de Bloco e Fluxo, Simétricas e Assimétricas, RSA e Curva Elíptica, estudando e diferenciando os algoritmos inseguros e seguros.

• Princípios de truncagem de dados de cartão
• O Princípio de Kerckoff, gerenciamento de chaves e aleatoriedade
• Performance comparada de algoritmos (Custo e tempo de processamento)
• Criptografia simétrica de Substituição e Transposição, Bloco e Fluxo (DES/3DES, RC4, AES, etc.)
• Criptografia Assimétrica (Diffie-Helman, RSA, Curva Eliptica, Assinatura de Código)
• Criptografia Híbrida (HTTPS, VPN. Etc.)

Pela primeira vez a Injeção saiu do Top 1 da OWASP, mas continua como 3ª ameaça e agora engloba ataques Cross site Script (XSS)

• Ataques de injeção
• Funções e Expressões Regulares para Validação de entrada
• SQL Injection (Combinação de Dados e Comandos)
• Estouro de Buffer
• Cross-Site-Scripting (XSS) e Cross-Site Request Forgery (CSRF ou XSRF)

Estuda as falhas de projeto provenientes de falha ou ausência de modelagem de ameaças, padrões e princípios de design seguros e arquiteturas de referência. Sem isso, os controles de segurança necessários nunca serão criados para a defesa contra ataques específicos.

• Ciclo de vida do Software sem e com requisitos de segurança
• Secure Development Lifecycle (SDLC)
• Codificação Segura
• Testes de segurança (White, Grey, Black, Fuzzing, SAST, DAST e IAST)

As aplicações são cada vez mais configuráveis, o que faz com que as opções de configuração insegura sejam cada vez maiores. Neste módulo chamamos a atenção para vários pontos de risco:

• Falta de hardening
• Elementos desnecessários habilitados (portas, serciços, páginas, contas, privilégios, etc.)
• Exibição de mensagens de erro
• Configurações de segurança em bibliotecas, bancos de dados, frameworks, etc.
• Cabeçalhos de segurança (Security Host Headers)

Cada vez mais usamos componentes de terceiros em nossas aplicações. Este módulo explora as falhas de segurança em componentes e as formas de seleção e atualização de componentes.

• Seleção de componentes e casos de falhas críticas
• Testes e reputação
• Informação e Atualização

Estudar as técnicas adequadas de confirmação da identidade do usuário, autenticação e gerenciamento de sessão para proteger contra ataques e algumas deficiências de aplicações como:

• Ataques de força bruta
• Força das senhas
• Recuperação segura de credenciais
• Rainbow Tables e Algoritimos de Hash com SALT
• Autenticação multifator
• Gerenciamento de Sessão

Quando o código e infraestrutura dependem de plugins, bibliotecas ou módulos de fontes não confiáveis, CDNs, etc. Um pipeline de CI/CD inseguro pode introduzir o potencial de acesso não autorizado, código malicioso ou comprometimento do sistema.

• Repositórios confiáveis e uso de assinaturas digitais para verificação
• Segregação de pipelines CI/CD
• Serialização / Desserialização insegura

Os registros (Logs) ajudam a detectar, escalar e responder a violações ativas. Sem registro e monitoramento, as violações não podem ser detectadas.

• Auditoria de eventos
• Mensagens de log inexistentes, inadequadas ou pouco claras
• Monitoramento de logs de aplicativos e APIs quanto a atividades suspeitas
• Centralização de Logs
• Detecção e alerta de ataques ativos

As falhas do SSRF ocorrem quando um aplicativo da Web está buscando um recurso remoto sem validar a URL fornecida pelo usuário, permitindo que um invasor force o aplicativo a enviar uma solicitação criada para um destino inesperado, mesmo quando protegido por um firewall, VPN ou outro tipo de lista de controle de acesso à rede (ACL).

• Higienização de dados de entrada
• Lista de permissões positivas