lunes, 9 de febrero de 2015

El hermano mayor CAPEC




La semana pasada hablé sobre STRIDE, como ya os comenté se trata de una forma de categorizar las vulnerabilidades y es un concepto muy conocido por los profesionales de la seguridad.
No obstante no es el único, ni el más completo, tiene un hermano mayor que se llama CAPEC.

 
 

CAPEC es un directorio extremadamente completo donde se listan las topologías de ataques repartidos en diferentes categorías y explicando cada uno de esos ataques con un cierto grado de comprensión. 



Estas son las diferentes categorías principales de CAPEC, rápidamente se puede observar que es más completo y rico que STRIDE

CAPEC incluye hasta los ataques de acceso físico o el código malicioso.

Esto no quiere decir que STRIDE sea peor, realmente si te pones estas categorías puedes agruparlas dentro de las seis del anterior pero si es cierto que cuando comienzas adentrarte en el mundo del modelado de amenazas y ya controlas el juego de cartas de Microsoft echas en falta cosillas que CAPEC te puede dar, además CAPEC está muy cerca de poder considerársele un estándar y tiene un mantenimiento, por lo que siempre está creciendo su catálogo.

¿Dónde está el punto negativo?

Esto ya es una visión más subjetiva, CAPEC es todo un catálogo, pero como sucede con los diccionarios solo nos da la definición del concepto. Si tú lees sopa en el diccionario verás su definición pero no la receta de cómo hacer una o detectar cual es una sopa entre cientos de platos diferentes.
Resumiendo, se echa en falta un mayor grado de detalle en los diferentes conceptos.

Este problema creo que lo detectó en su día Leonardo Cavallari Militelli cuando fundó el proyecto ASDR en OWASP, todo un compendio excelente de posibles ataques con información muy detallada de los mismos e incluso ejemplos de código vulnerable/seguro en algunos de sus conceptos.

Toda una maravilla de proyecto que dio lugar a un libro muy extenso (598 páginas) pero que, por desgracia, murió en su versión Alpha hace ya unos años.

La pregunta es… ¿os animáis alguno a retomar el proyecto ASDR?



No hay comentarios:

Publicar un comentario

Esperando tu comentario...