Comentarios en: WWW. Una ventana al mundo, una ventana para los intrusos http://www.securityartwork.es/2009/03/26/www-una-ventana-al-mundo-una-ventana-para-los-intrusos/ Blog de Seguridad de la Información de S2 Grupo Sat, 11 Feb 2012 09:31:50 +0100 http://wordpress.org/?v=2.8.4 hourly 1 Por: xavim http://www.securityartwork.es/2009/03/26/www-una-ventana-al-mundo-una-ventana-para-los-intrusos/comment-page-1/#comment-838 xavim Fri, 27 Mar 2009 11:38:29 +0000 http://www.securityartwork.es/?p=659#comment-838 Cultura de seguridad o 'la seguridad por contrato'?? Creo que antes de buscar responsabilidades se deben pedir garantías y este es un tema que los técnicos podemos recomendar. Si el desarrollo no es propio, hay que tomar ciertas medidas para evitar los problemas de seguridad y esto tiene que venir reflejado en la oferta del proyecto. Tal como está el estado del 'arte de la programación' nunca vamos a tener una certeza absoluta de ser invulnerables, mucho menos en desarrollos hechos a medida, por eso, las salvaguardas, incluyen tener en cuenta la seguridad en ciclo de vida del software. Por ejemplo, se debe incluir en los pliegos que los desarrollos seguirán las guías de desarrollo seguro del OWASP o pedir certificaciones como la de ISC2 , http://www.isc2.org/csslp/default.aspx además de que se verifique la validación sobre los errores más típicos de programación del SANS http://cwe.mitre.org/top25/ ... Posteriormente tendrá que ser preceptivo el pasar una auditoría (no automatizada) por parte de un centro independiente para que se valide la entrega de la aplicación. Esto supondrá sobre costes puesto que no existe una seguridad absoluta, pero es lo menos que podemos pedir. Cultura de seguridad o ‘la seguridad por contrato’??

Creo que antes de buscar responsabilidades se deben pedir garantías y este es un tema que los técnicos podemos recomendar.

Si el desarrollo no es propio, hay que tomar ciertas medidas para evitar los problemas de seguridad y esto tiene que venir reflejado en la oferta del proyecto. Tal como está el estado del ‘arte de la programación’ nunca vamos a tener una certeza absoluta de ser invulnerables, mucho menos en desarrollos hechos a medida, por eso, las salvaguardas, incluyen tener en cuenta la seguridad en ciclo de vida del software.

Por ejemplo, se debe incluir en los pliegos que los desarrollos seguirán las guías de desarrollo seguro del OWASP o pedir certificaciones como la de ISC2 , http://www.isc2.org/csslp/default.aspx además de que se verifique la validación sobre los errores más típicos de programación del SANS http://cwe.mitre.org/top25/

Posteriormente tendrá que ser preceptivo el pasar una auditoría (no automatizada) por parte de un centro independiente para que se valide la entrega de la aplicación.

Esto supondrá sobre costes puesto que no existe una seguridad absoluta, pero es lo menos que podemos pedir.

]]> Por: Francisco Benet http://www.securityartwork.es/2009/03/26/www-una-ventana-al-mundo-una-ventana-para-los-intrusos/comment-page-1/#comment-837 Francisco Benet Fri, 27 Mar 2009 11:38:08 +0000 http://www.securityartwork.es/?p=659#comment-837 Bueno, a veces tienes lo que pagas, si pagas becarios debes poner más atención, pese a que lo que deberias hacer es implantar controles de testing. En cualquier caso yo a este tío lo largaba a la calle...aunque si tiraramos a todos los que hacen males el paro se duplicaria. Es más, si esto llegase a ver la luz (me refiero al codigo) largaba al desarrollador, al jefe de proyecto, a los de pruebas(si los hay), al responsable de seguridad (si lo hay), al responsable de metodología (Si lo hay),... Lo que quiero decir es que estas cosas pasan muchas veces por falta de rigor, conocimiento, y por costes...y más de una vez 'por mala leche'. Como todos sabemos, cuanto más grande es el proyecto (en presupuesto) más se lleva el consultor y menos hay para el desarrollador...así que cuando pagas becarios, tienes becarios, si te saltas las fases de pruebas, si no usas frameworks que te alivien la carga de seguridad, si no eres preventivo...entonces la Web 2.0 te lleva al infierno. Y sigo estando de acuerdo contigo, exceptuando que el desarrollador es el medio pero no el fin... Bueno, a veces tienes lo que pagas, si pagas becarios debes poner más atención, pese a que lo que deberias hacer es implantar controles de testing. En cualquier caso yo a este tío lo largaba a la calle…aunque si tiraramos a todos los que hacen males el paro se duplicaria. Es más, si esto llegase a ver la luz (me refiero al codigo) largaba al desarrollador, al jefe de proyecto, a los de pruebas(si los hay), al responsable de seguridad (si lo hay), al responsable de metodología (Si lo hay),… Lo que quiero decir es que estas cosas pasan muchas veces por falta de rigor, conocimiento, y por costes…y más de una vez ‘por mala leche’.

Como todos sabemos, cuanto más grande es el proyecto (en presupuesto) más se lleva el consultor y menos hay para el desarrollador…así que cuando pagas becarios, tienes becarios, si te saltas las fases de pruebas, si no usas frameworks que te alivien la carga de seguridad, si no eres preventivo…entonces la Web 2.0 te lleva al infierno.

Y sigo estando de acuerdo contigo, exceptuando que el desarrollador es el medio pero no el fin…

]]> Por: ramado http://www.securityartwork.es/2009/03/26/www-una-ventana-al-mundo-una-ventana-para-los-intrusos/comment-page-1/#comment-835 ramado Fri, 27 Mar 2009 10:03:30 +0000 http://www.securityartwork.es/?p=659#comment-835 Hola Francisco, en primer lugar agradecerte tu comentarío. Estoy totalmente de acuerdo con tu postura en cuanto a las responsabilidades finales de los posibles fallos de seguridad de las aplicaciones web. No se debe buscar un único responsable, pese a que mi persona instando a la provocación haya querido cargar a lomos de los programadores la responsabilidad de aberraciones como : (menorque)?php include($_GET['vuln']); ?(mayorque) o incluso... SELECT * FROM usuarios WHERE nombre = '" + nombreUsuario + "'; sin valildación y filtrado previo Saludos. Hola Francisco, en primer lugar agradecerte tu comentarío. Estoy totalmente de acuerdo con tu postura en cuanto a las responsabilidades finales de los posibles fallos de seguridad de las aplicaciones web. No se debe buscar un único responsable, pese a que mi persona instando a la provocación haya querido cargar a lomos de los programadores la responsabilidad de aberraciones como :

(menorque)?php
include($_GET['vuln']);
?(mayorque)

o incluso…

SELECT * FROM usuarios WHERE nombre = ‘” + nombreUsuario + “‘; sin valildación y filtrado previo

Saludos.

]]> Por: Francisco Benet http://www.securityartwork.es/2009/03/26/www-una-ventana-al-mundo-una-ventana-para-los-intrusos/comment-page-1/#comment-834 Francisco Benet Fri, 27 Mar 2009 09:46:37 +0000 http://www.securityartwork.es/?p=659#comment-834 Roberto, me ha gustado tu post, y coincido contigo en todo (sin entraramos a profundizar podriamos estar dias, horas y eternas jornadas de cervezas charlando - seguro - ) pero veo tres aspectos fundamentales en los que te centras: 1 - seguridad de elementos de infraestructura. 2 - seguridad de codigo. 3 - Responsabilidad. Y es aquí donde me gustaría lanzar una cuestión (cada uno que tenga su opinión) relativa a la seguridad empresarial: ¿la responsabilidad de la seguridad realmente recae sobre un único sujeto?¿y legalmente ante un fallo de los sistemas? Ahora, el control de la información así como la gestión de los sistemas debe ser horizontal a la empresa, por lo tanto ¿que responsabilidad real existe en el desarrollador? ¿quien es el responsable de la calidad del software? - y la calidad engloba seguridad, hay que asumirlo de una vez - Sí creamos software, ¿por que el comprador no nos exige resultados de seguridad? ¿por que no exige el resultado de metricas o testing en seguridad? Si compramos sofware ¿por que el desarrollador no nos ofrece garantias de calidad asociadas a la seguridad y no solo a la funcionalidad? Lo del ACE Team de Microsoft esta bien, pero no me convence mucho. Creo que el comprador también debe asumir su culpa, la de la no exigencia (por miedo al coste, claro, lo de siempre) de la seguridad (por que desconoce, por que no tiene cultura). Y luego va y se queja que de su página web alguién ha sacado sus usuarios...por favor. Pero aún hay más, a menudo estamos acostumbrados a dividir las responsabilidades entre equipos de proyecto de desarrollo, de implantación y pruebas, y de explotación. Cada uno con su parcela, cada uno con sus métodos y con sus responsabilidades, pero el factor común en la seguridad es que la mala praxis en cada uno de estos grupos expone el sistema a fallos de seguridad y a fallos disponibilidad de los servicios y datos (Dejame que los diferencie). ¿A quien corresponde asumir la responsabilidad de la mala praxis de estos grupos y la exposición a fallos del sistema y/o vulnerabilidades? ¿a la metodología? ¿al responsable de seguridad? ¿al responsable de 'presupuestos'? ¿al jefe de proyecto de cada uno de los grupos? ¿al operador/desarrollador/analista? ¿o a la empresa en general? ¿y legalmente? La asignación de responsabilidades -para mi gusto- es como asegurar que por tener firmado un papel de confidencialidad se le puede dejar a un señor campar a sus anchas por los datos de la empresa, o que una politica de seguridad nos cubre de todos los males aunque no se disponga de medios para que se cumplan. Al final, como todos sabemos, acabamos cargando contra el remero, y no contra el patrón. Roberto, me ha gustado tu post, y coincido contigo en todo (sin entraramos a profundizar podriamos estar dias, horas y eternas jornadas de cervezas charlando – seguro – ) pero veo tres aspectos fundamentales en los que te centras:
1 – seguridad de elementos de infraestructura.
2 – seguridad de codigo.
3 – Responsabilidad.

Y es aquí donde me gustaría lanzar una cuestión (cada uno que tenga su opinión) relativa a la seguridad empresarial: ¿la responsabilidad de la seguridad realmente recae sobre un único sujeto?¿y legalmente ante un fallo de los sistemas?

Ahora, el control de la información así como la gestión de los sistemas debe ser horizontal a la empresa, por lo tanto ¿que responsabilidad real existe en el desarrollador? ¿quien es el responsable de la calidad del software? – y la calidad engloba seguridad, hay que asumirlo de una vez –
Sí creamos software, ¿por que el comprador no nos exige resultados de seguridad? ¿por que no exige el resultado de metricas o testing en seguridad?
Si compramos sofware ¿por que el desarrollador no nos ofrece garantias de calidad asociadas a la seguridad y no solo a la funcionalidad? Lo del ACE Team de Microsoft esta bien, pero no me convence mucho.

Creo que el comprador también debe asumir su culpa, la de la no exigencia (por miedo al coste, claro, lo de siempre) de la seguridad (por que desconoce, por que no tiene cultura). Y luego va y se queja que de su página web alguién ha sacado sus usuarios…por favor.

Pero aún hay más, a menudo estamos acostumbrados a dividir las responsabilidades entre equipos de proyecto de desarrollo, de implantación y pruebas, y de explotación. Cada uno con su parcela, cada uno con sus métodos y con sus responsabilidades, pero el factor común en la seguridad es que la mala praxis en cada uno de estos grupos expone el sistema a fallos de seguridad y a fallos disponibilidad de los servicios y datos (Dejame que los diferencie). ¿A quien corresponde asumir la responsabilidad de la mala praxis de estos grupos y la exposición a fallos del sistema y/o vulnerabilidades? ¿a la metodología? ¿al responsable de seguridad? ¿al responsable de ‘presupuestos’? ¿al jefe de proyecto de cada uno de los grupos? ¿al operador/desarrollador/analista? ¿o a la empresa en general? ¿y legalmente?

La asignación de responsabilidades -para mi gusto- es como asegurar que por tener firmado un papel de confidencialidad se le puede dejar a un señor campar a sus anchas por los datos de la empresa, o que una politica de seguridad nos cubre de todos los males aunque no se disponga de medios para que se cumplan.

Al final, como todos sabemos, acabamos cargando contra el remero, y no contra el patrón.

]]>