Ingeniería de Aplicaciones para la Web Semántica Guest Lecturer: JJaavviieerr EEcchhaaiizz [email protected] JJaavviiZZ’’ IIccee bbrreeaakkeerr!! ☺☺ 2 EEll mmiittoo “Nuestro web site/service está a salvo”: – Tenemos firewalls. – Firmamos/Encriptamos nuestros datos. – Autenticamos a nuestros usuarios. – Tenemos una política de privacidad. 3 HHiissttoorriiaass ddee tteerrrroorr n pe o Qedx(cid:1)waMpe—taosaSyNIt se2nNc3te YuGe,e sr2Trittnl0yiwit c0feocmt2ou.chcuerssoks.t mc ooHI,nm maFtceeebkrr ne2 ad7,l H20a0—Mc2akZare Dc2rN5cs,e2o ta0 uN0tnt2eHawtcs8s akcM aieklrBleidG rasAoyonv •cCt’Ccto erWBHesS daesNicee tbkws S sA,i tJteat3asn c 2 k5 ,s 2 0d0oh3c-aCNucoAmmkSSpeNeuArAietn temt wetrhiWFsnsseeoovB frrRertlydi sttoeTAeetfvusihc ggseoh Faeaeu tnlUibesns sda2gite2n iPvr,d2sea0s s0 Os2—wf ords C e b 1 8 , S2 0o0ftware bug bites U.S. 8 ,2002 F Viven d i Says O n lin e N N , Military C Sh ar eh o ld er Vo t in g Hacked - — BBC, Mar 18,2003 — N e w sB yte s, A p r 2 9 , 2 0 0 2 ex—pCoGoslmietpcsuh tce uarWts tFoorildmd,e eMlirta yiyn C3fo0a,r n2ma0a0d2taio n onSlhi—enoceTlud htre abiRtxay c rwekto uUrrrKnie ss sHo ac—c.skAeeBcrC.s N nseutwemsa,b lM esartrsu 6d,2e0n0 3ts Fp Te Dr—s o.cConNmaetl, h inFofeoleb rm1 le3,aa t2k0ios0n 3 4 29,200e3gister, Jan RReeqquueerriimmiieennttooss ddee sseegguurriiddaadd • Autenticación: ¿sos quién decís ser? • Autorización: ¿tenés permitido tenerlo? • Confianza: ¿acepté trabajar con vos? • Integridad: ¿fue alterado antes de que yo lo obtuviese? • Confidencialidad: ¿puede un “extra” verlo? • Auditoría: ¿puedo probar que pasó? • No-repudio: ¿podés argumentar que no lo enviaste/recibiste cuando en realidad si lo hiciste? 5 SSoolluucciioonneess ggeenneerraalleess • Autenticación: usuario/password, firma digital basada en password y verificación de firma, challenge-response, biométrica, smart cards, etc. • Autorización: aplicación de políticas, control de acceso, capacidades, gestión de derechos digitales. • Confianza: a partir de la verificación de la firma digital. • Integridad: Message Digest, autenticado mediante firma digital. • Confidencialidad: encripción/desencripción mediante claves. • Auditoría: logueos encriptados para evitar el tampering. • No-repudio: firmado/verificación con firma digital, confiabilidad del mensaje. 6 HHeerree CCoommeess tthhee WWeebb SSeerrvviicceess • Web Services provides cross-enterprise integration 7 CCyybbeerr CCrriimmee && IInncciiddeennttss oonn tthhee RRiissee 8 WWhhyy AApppplliiccaattiioonn SSeeccuurriittyy DDeeffeeccttss MMaatttteerr • Frequent 21% Full • 3 out of 4 business websites are Control and vulnerable to attack (Gartner) Access to Information • Pervasive 32% Hijack 7% Modify • 75% of hacks occur at the Session/ Application level (Gartner) Information Identity Theft • Undetected • QA testing tools not designed to detect security defects in 27% Privacy applications 11% Breach • e-Shoplifting Manual patching - reactive, never 2% Delete Web ending, time consuming and Site expensive • Dangerous >1000 application ‘Healthchecks’ with AppScan – • When exploited, security defects 98% vulnerable: all had firewalls and encryption destroy company value and solutions in place… customer trust 9 TThhee TThhrreeaatt iiss RReeaall Security Threat Privacy Threat 10
Description: