Présentation PowerPoint

Présentation PowerPoint

Fun with Fuzzing : les outils SDL SEC306 Eric Mittelette Eric Verni Division Plateforme et Ecosystme Microsoft France Division Plateforme et Ecosystme Microsoft France [email protected] [email protected] 2 SDL Approche Un logiciel scuris est un sous-ensemble dun logiciel de qualitcar il ne peut pas y avoir de qualit sans scurit

Ajout d'une srie d'activits et de tches relatives la scurit chacune des phases de vos processus Intgration de mesures permettant d'amliorer la scurit des logiciels sans remettre en cause lorganisation actuelle Ajout de points de contrle de scurit bien dfinis et des tches relatives la scurit 3 SDL En bref Objectifs Rduire le nombre et la gravit des vulnrabilits logicielles "Minimize security-related vulnerabilities in the design, code, and documentation and to detect and eliminate vulnerabilities as early as possible in the development life cycle" Composants Bonnes pratiques, processus, standards, activits/tches de scurit, outils Obligation d'application en interne pour les logiciels susceptibles D'tres utiliss pour stocker, traiter et/ou transmettre des informations personnelles et sensibles (PII)

D'tres utiliss en environnements d'entreprise De communiquer sur Internet ou sur d'autres rseaux 4 Illustration Microsoft Security Development Lifecycle (SDL) Conceptualis en 2002 avec l'initiative Trustworthy Computing http://www.microsoft.com/mscorp/execmail/2002/07-18twc.mspx Faire de la scurit une priorit, la traiter comme une fonctionnalit de base de nos produits et technologies Mis en place partir de 2004 de faon obligatoire L'quipe Secure Windows Initiative (SWI) en assure le dveloppement, la maintenance et les amliorations : optimisation(s) et volution(s) tous les 6 mois grce la rtroaction, l'analyse et l'automatisation Document ds 2005 http://msdn2.microsoft.com/en-us/library/ms995349.aspx Microsoft Security Development Lifecycle Autre illustration non dveloppe ici: OWASP SAMM (Software Assurance Maturity Model):

http://www.opensamm.org/ 5 Efficacit de SDL Quelques chiffres 94 % des vulnrabilits cibles au niveau de la couche application SDL produit des amliorations de scurit mesurables pour Microsoft Rduction des failles de scurit de 91% dans SQL Server Rduction des failles de scurit de 45% dans Windows Rduction des failles de scurit de 35% dans Internet Explorer Impact majeur dans les services en ligne galement Les sites non-SDL (dveloppement tierce) ont des taux beaucoup plus levs d'incidents de scurit 6 SDL Principes et processus Paradigme SD3+C Paradigme PD3+C

Respect de la vie prive ds la conception Respect de la vie prive par dfaut Respect de la vie prive dans le dploiement Spcification des outils Mise en place/ uvre des bonnes pratiques et rgles associes Non utilisation des APIs interdites Analyse statique 7 Vr ific ati

on Im pl me nta tio n Modlisation des menaces Analyse de la surface d'attaque Revue de code pousse Analyse dynamique / injection de fautes cible Vrification du modle des

menaces / surface d'attaque Revue des nouvelles menaces Di ffu sio n/ D plo ie me nt C o n c e p t i

o n Formation des base Analyse des risques de scurit et de respect de la vie prive Dfinition des seuils de qualit et des critres de sortie Plan de rponse Revue finale de scurit (FSR) Archivage de la release

R po ns e de sc uri t Scurit ds la conception Scurit par dfaut Scurit du dploiement Communications Excution de la rponse Boucle de retour vers le processus de dveloppement Exi ge

nc es SDL dans le cycle de vie du projet Formation Formation Formation de base Exigences Exigences Analyse des risques sur la scurit et le respect de la vie prive Dfinir de jalons de qualit Mise en Mise

en oeuvre oeuvre Outils spcifiques Fonctions bannies Analyse statique Conception Conception Modlisation des menaces Analyse de la surface d'attaque 8 Vrification Vrification Tests

dynamiques / par fuzzing Vrification du modle de menaces et de la surface d'attaque Publication Publication Plan de rponse Revue finale de scurit Archivage Rponse Rponse Rponse proprement parler SDL et les niveaux de maturit

Ou en tes vous vs SDL et une approche scuris ? 9 SDL Optimisation Model 10 SDL les outils MiniFuzz File Fuzzer Dtection de bugs dans la manipulation de fichier BinScope Binary Analyzer Outil de vrification des binaires (C/C++) vs les prconisation SDL (compilateurs settings et flags) SDL Process Template for VSTS Template a intger dans VSTS et TFS pour une gestion agile de SDL SDL Threat Modeling Tool Outil de modlisation des menaces FxCop Analyse des binaires managed vs les prconisations SDL 11

SDL les outils SiteLock Permet de bloquer lusage dActiveX a certain domaines (internet) Code Analysis for C/C++ (/analyze in Visual Studio) Flags pour le compilateur C/C++ permettant une analyse statique du code ( combiner avec les annotation SAL) Anti-Cross Site Scripting (Anti-XSS) v3 BETA Librairie danti cross scripting v3 Code Analysis Tool .NET (CAT.NET) v1 CTP Outil complementaire d analyse statique de code manag Banned.h Les fonctions (C/C++) a bannir de vos codes vs les prconisations SDL 12 Dmos Des outils, cest fait pour tre dmontr ! 13 Ressources SDL Tools http://

msdn.microsoft.com/en-us/security/sdl-tools-download.asp x SDL Documentation http://msdn.microsoft.com/fr-fr/security/default.aspx Blog M Howard http://blogs.msdn.com/michael_howard 14

Recently Viewed Presentations

  • User Manual Banking Correspondent/Facilitator exam ...

    User Manual Banking Correspondent/Facilitator exam ...

    Who can attempt/apply: Any one interested to become Banking correspondent or want to impart banking services. What is fee: 800+ GST for attempt number 1st, 3rd ,5th and on; 400+GST for attempt number 2nd , 4th , 6th and so...
  • Lesson 1: Length T. Trimpe 2008 http://sciencespot.net/ English

    Lesson 1: Length T. Trimpe 2008 http://sciencespot.net/ English

    The base unit of volume in the metric system in the liter and is represented by L or l. Standard: 1 liter is equal to one cubic decimeter Metric Units 1 liter (L) = 1000 milliliters (mL) 1 milliliter (mL)...
  • PowerPoint-Präsentation

    PowerPoint-Präsentation

    Ampliative ("synthetic") Types of Inferences. As we heard right at the end, problems are coming: We have to discuss and oppose different hypotheses against each other in science. So based on what methods can we distinguish between these hypotheses?
  • Multi-Media Presentations

    Multi-Media Presentations

    iMOVIE TUTORIAL denisse andrade, ITF Seminar 3,Baruch College [email protected] (Adapted from a tutorial by Amanda Favia)
  • Greek Mythology

    Greek Mythology

    Character Archetypes . Mentor: The mentor is an older, wiser teacher to the Hero. He is sometimes viewed as a father figure. He gives the Hero gifts, food, magic, information, help, etc. Example: Morpheus from the Matrix, Obi Wan from...
  • The Book of Proverbs - crosstraining.us

    The Book of Proverbs - crosstraining.us

    The Book of Isaiah. ... Moody, 1980), 127. Harris, Archer, and Waltke, vol. 2, 916. ... commentators make the mistake of treating the "servitude of the nation" and the "desolation of Jerusalem" as synonyms since they both were predicted to...
  • The Outsiders by S.E. Hinton Chapter 4: Rising

    The Outsiders by S.E. Hinton Chapter 4: Rising

    Chapter 4. Rewrite the scene in the park in first person, present tense, as either of these two characters: Johnny or Bob. Think about what might be going through their minds as the scene unfolds. Both are thinking about more...
  • CABLE SYSTEMS - Archi-fied!

    CABLE SYSTEMS - Archi-fied!

    The thrust is inversely proportional to the sag; halving the sag doubles the thrust. This raises an interesting question of economy through. OPTIMAL SAG : A large sag increases the cable length, but reduces the tensile force & allows a...