FUD on Cloud Security

Posted on November 30, 2011 by Simon Roses

[Español] Últimamente he asistido a varios eventos sobre seguridad en la Nube (Cloud) y sorprende el alto grado de FUD que existe sobre este tema. La Nube no es un concepto o tecnología nueva sino más bien un uso eficiente de una serie de tecnologías que todos conocemos como Servicios Web, virtualización, etc.

[English] Lately I have attended several events on Cloud security and it is surprising the high degree of FUD that exists on this subject. The cloud is not a new concept or technology, but rather an efficient use of a number of technologies that we all know well such as Web services, virtualization, etc.

El principal problema de las empresas a la hora de utilizar la Nube es la supuesta pérdida de control de su información, que en la mayoría de los casos no es real, un miedo provocado por un desconocimiento en la materia.

The main problem of companies using the cloud is the alleged loss of control of their information, which in the majority of cases is not real, and this fear is caused by a lack of knowledge on the subject.

Las empresas deben realizar un análisis sobre qué aplicaciones e información pueden utilizar en la Nube, que en muchas ocasiones son la mayoría de aplicaciones corporativas ya que no utilizan información sensible. Para ello la empresa debe conocer su información y establecer una política de clasificación de información.

Companies must perform an analysis on which applications and information can be used in the cloud, most of corporate applications can as they do not use sensitive information. While doing so the company must know their information and establish a Data Classification Policy.

Es frecuente en este tipo de eventos oír a personas que protestan por perder el control de su información y su ubicación e incluso piden que se audite a los proveedores de servicios en la Nube cuando seguramente en sus propias organizaciones no protegen adecuadamente todos los lugares donde almacenan su información, y bien seguro no auditan a sus proveedores o empresas aliadas que suelen tener acceso a la redes corporativas.

It is common in this type of event to hear people protesting due to the loss of control of their information and its location and even requesting cloud vendors to be audited when probably in their own organizations they do not adequately protect all the places where they stored information, and for sure they do not audit their vendors and partners that usually have access to their corporate networks.

En la Fig. 1 se plantean diversas cuestiones de seguridad que generalmente demasiadas empresas de todos los tamaños no realizan o ni siquiera se plantean. Es complicado entender la misteriosa Nube cuando estas cuestiones con décadas de existencia aún no son entendidas por las organizaciones.

In Fig. 1 we arise various security issues that usually too many companies of all sizes do not perform or don’t care. It is difficult to understand the mysterious ways of the cloud when these issues with decades of existence are not yet understood by organizations.

Fig.1 – Grado de madurez de la seguridad en una empresa / Degree of security maturity in an enterprise

Es cierto que la Nube puede ayudar a muchas organizaciones en el ahorro de costes y agilidad, pero también puede ayudar a ser más seguras. Algunos puntos a tener en cuenta son:

  • Antes debemos conocer nuestra organización (activos, riesgos, información, aplicaciones, etc.) para tomar las decisiones adecuadas sobre qué subir a la Nube.
  • Es cierto que en la Nube podemos perder la visibilidad de la ubicación de nuestra información pero no debería ser problema, ya que existen mecanismos de seguridad efectivos como la criptografía y algunos proveedores pueden establecer criterios de localización.
  • Es clave la correcta selección de un proveedor de la Nube que nos pueda dar garantías y responda en las incidencias.
  • Un buen contrato (SLA) es vital.
  • Tenemos que ser racionales a la hora de establecer mecanismos de seguridad en la Nube como lo haríamos en nuestras organizaciones. La tecnología existe pero debemos utilizarla correctamente.

It is true that the cloud can help many organizations in saving costs and being more agile but it can also help be more secure. Some points to consider are:

  • Before moving to the cloud we must know our Organization (assets, risks, information, applications, etc.) to take the appropriate decisions of what to move to the cloud.
  • It is true that in the cloud we can lose visibility of the location of our information, but it should not be problem since there are effective security mechanisms such as cryptography, and some cloud vendors can establish location criteria.
  • It is key the correct selection of a cloud provider that can give us guarantees and responds to incidents.
  • A good contract (SLA) is vital.
  • We must be rational in establishing security mechanisms in the cloud as we would in our organizations. The technology exists but we must use it correctly.

Sin duda la Nube es una tema interesante y de moda que cada día mas organizaciones se plantean utilizar por lo que se debe perder este miedo absurdo. Aquellas organizaciones que no sepan apreciar las bondades de la Nube perderán en innovación.

Tu organización se plantea utilizar la Nube y para qué?

No doubt the cloud is a hot topic that every day more organizations think of using but first we should lose this absurd fear. Those organizations that do not recognize the benefits of the cloud will lose their innovation.

Does your organization use the cloud and for what?

— Simon Roses Femerling

Posted in Business, Economics, Pentest, Security, Technology | Tagged , , | Leave a comment

Source Barcelona 2011: magnificent

Posted on November 19, 2011 by Simon Roses

[Español] El pasado miércoles 16 y jueves 17 de noviembre tuvo lugar la tercera edición de Source en Barcelona. Quizá yo no sea objetivo ya que formo parte del advisory board, pero tengo que admitir que cada año el congreso se supera.

[English] The past Wednesday 16 and Thursday 17 November was held the third edition of Source in Barcelona. I might not be objective as I am part of the advisory board, but I have to admit that each year the conference exceeds.

A pesar de ser un congreso pequeño tiene unas magníficas charlas y el ambiente es estupendo, se puede hablar con todo el mundo seas ponente o asistente. Lo cierto es que el congreso es un buen lugar para ver a los viejos amigos y por supuesto hacer nuevas amistades y compartir unas cervezas entre risas :)

Despite being a small conference has some great talks and the atmosphere is great, you can talk to everybody no matter if he is speaker or attendee. Indeed the conference is a good place to see old friends and of course making new acquaintances and share a few beers and laughs :)

Algunas cosas a destacar de este año son:

Some things to highlight this year are:

Amigos, hasta el próximo año o quizá antes en algún otro Source en EE.UU :)

Friends, until next year or maybe before at any other Source in the United States :)

— Simon Roses Femerling

Posted in Conference, Security, Technology | Tagged , , , , , | Leave a comment

AppSec: Security Code Review Process

Posted on November 8, 2011 by Simon Roses

[Español] En mi trabajo paso la mayor parte del tiempo auditando código y he pensado que sería interesante para el lector contar un poco nuestro proceso y de paso ver cómo lo hacen los demás.

[English] I spend most of the time at work auditing code and I thought it would be interesting for the reader to explain our process and see how others do it.

Como no podía ser de otra manera seguimos el SDL de Microsoft :) y todos los desarrollos internos tienen que pasar una serie de controles de seguridad. Para este artículo nos enfocaremos en la auditoría de código únicamente.

Nuestro proceso es muy fácil de seguir para los grupos de desarrollo, ya que tenemos que tener en cuenta que la gente de seguridad está para ayudar y no complicar las cosas.

En la Fig. 1 podemos ver una versión aproximada del proceso que seguimos,  que creo que es muy fácil de entender por lo que no entraré a detallar.

As it could not be otherwise we follow Microsoft SDL :) and all internal developments must pass a series of security checks (security gates). For this article we will focus on code review only.

Our process is very easy to follow for development groups, we must bear in mind that the security teams are here to help and not to complicate things.

In Fig. 1 we can see an approximate version of the process we follow which I think is very easy to understand so I will not explain the detail.

Fig. 1 – Proceso Auditoría de Código / Code Review Process

Una parte importante del SDL son las constantes mejoras a los procesos, herramientas y formación como se puede ver en el punto 14. Esto es fundamental para mantener un buen nivel  de seguridad con las últimas tecnologías.

Siguiendo este proceso hace tiempo que desarrollé una pequeña herramienta (lo siento pero no disponible por el momento) para ser más efectivo en auditorías de código llamada WildFire, que incorpora la mayoría de las etapas del proceso anterior.

An important part of the SDL is the continuous improvements to processes, tools and training as you can see in point 14. This is essential to maintain a good level of security with the latest technologies.

Following this process some time ago I developed a small tool (sorry but not available at the moment) to be more effective in code reviews called WildFire which incorporates most of the stages of the previous process.

Lo interesante de WildFire son algunas características como:

  • Analiza todo el código para obtener líneas de código y comentarios para ayudarnos en la estimación de tiempo, identifica vulnerabilidades (análisis estático básico), clasifica los ficheros en función de tipo, etc.
  • Genera un informe con los hashes de todo el código para enviar al cliente
  • Simple UI
  • Generación de informes
  • Utiliza un modelo de caja negra en el sentido que no intenta entender o compilar el código y puede analizar distintos lenguajes de programación

The interesting thing about WildFire are some features like:

  • Analyses code to get lines of code and comments to help us in the estimation of time, identifies vulnerabilities (basic static analysis), classifies files based on type, etc.
  • Generates a report with the hashes of all the code to send to the client
  • Simple UI
  • Report generation
  • Uses a black box approach in the sense that it does not try to understand or compile the code and can analyze various programming languages

WildFire es una herramienta bastante efectiva para mis necesidades aunque no es la única que utilizo, como por ejemplo Visual Studio, que es otra potente herramienta para realizar auditorías de código.

Desde la Fig. 2 hasta la Fig. 5 podemos ver WildFire en acción.

WildFire is a pretty effective tool for my needs although it is not the only one that I use as for instance Visual Studio, which is another powerful tool to perform code reviews

From Fig.  2 to Fig. 5 we can see WildFire in action.

Fig. 2 – Pantalla de Inicio / Home Screen

Fig. 3 – Análisis Completado / Analysis Completed  
Fig. 4 – Sumario del análisis / Analysis Summary
Fig. 5 – Visualización de código / Code Visualization

Una parte importante es la estimación de tiempo que nosotros realizamos mediante dos pasos, primero un formulario que recoge información del proyecto a revisar y segundo tras obtener el código utilizamos una tool diseñada para este fin, ya sea WildFire u otras que también disponemos. En OWASP podemos encontrar información sobre métricas en código.

Sin duda contar con un proceso bien detallado y las herramientas adecuadas es fundamental para una auditoria de código aunque no es suficiente, también debemos contar con las personas adecuadas (talento y formación).

Y vosotros como realizáis auditorias de código?

An important part is the estimation of time which we carry out by a two-step process, first a form that collects information from the project to review and second after obtaining the code use a tool designed for this purpose either WildFire or other tools that we also have available. In OWASP we can find information about code metrics.

Without a doubt having a good detailed process and the right tools is essential for a code review although it is not enough, we must also have the right people (talent and training).

How do you perform code reviews?

— Simon Roses Femerling

Posted in Microsoft, OWASP, Pentest, SDL, Security, Technology | Tagged , , , , | Leave a comment