La contraseña ¿Realmente seguimos necesitándola?

Vivimos en la era de la información digital, llenamos cientos de Teras de información sobre nosotros. Decimos que las grandes empresas nos controlan o de que exponemos toda nuestra vida (o nuestro mismo ser) en la red, de una forma que puede ser hasta irresponsable.

Cuando navegas por la red parece que Internet está hecha a tu medida, hasta la publicidad solo te muestra ya lo que realmente quieres ver, que casualidad…

Nos movemos en un porcentaje mínimo de aplicaciones a lo largo de la red y éstas nos conocen muy bien. Siempre hacemos lo mismo, nos interesamos por las mismas cosas y contactamos con los mismos círculos. En resumen, los sistemas, por pequeños que sean, nos conocen. 

Nos conocen muy bien y, por eso mismo, pueden ser capaces de diferenciarnos de los demás usuarios, por lo que lleva a la reflexión que últimamente me ronda la cabeza ¿realmente no somos capaces de inventar sistemas que no sean complejos para identificarnos unívocamente sin tener que pasar fronteras de seguridad? Creo que la usabilidad y la seguridad si pueden hacer las paces autenticándonos de forma segura sin tener que andar acordándonos de mil contraseñas cada día más complejas.

Ahora es cuando me van a venir con el tema de que “Ya existe: los certificados, el DNI-e….” y si han leído con un poco atención verán que no es el camino al que me refiero. Los certificados hay que mantenerlos, muchos de ellos como formatees el ordenador, te obligan a acudir a alguna entidad a solicitarlo de nuevo y eso de usabilidad cero.

Creo que estamos preparados para hacer otros tipos de autentificaciones basándonos en un dato inicial tan simple como puede ser tu nombre o cualquier dato habitual que no conozcan los cyber usuarios y a ti no te resulte complejo de recordar.

“Mucha gente conoce mi nombre real” eso es cierto pero ¿y si el sistema capta como estas introduciendo ese nombre? Las pulsaciones por segundo, la máquina/s desde las que conecta, el país, el proveedor de internet… son un indicativo que puede ayudarte a diferenciar si es el usuario habitual o no y no es un código complicado de escribir. ¿Qué pasa si la maquina detecta algo raro? Los sistemas nos conocen, repito, seguro que pueden hacerte alguna pregunta posteriormente (si han detectado alguna anomalía) que para ti no suponga ningún problema recordar y para otras personas ya sean un factor de diferenciación.

Esto es solo una reflexión, creo que ya hay mucha información sobre nosotros en todas las páginas que frecuentamos como para poder eliminar algo tan molesto e inseguro de implementar como es un sistema de autentificación que, en muchos de los casos, ni es necesario. ¿Qué opináis vosotros?

Libros sobre desarrollo seguro. Parte III

Quienes me tengan en Linkedin habrán visto que hace un par de semanas cambié de trabajo (un gran abrazo a todo mis viejos compis), el principal cambio es que he pasado de estar dando vueltas con el coche a la tranquila vida del transporte público.

Os cuento eso porque dos horas al día de lectura/estudio dan para mucho por lo que puede que estéis una temporada viendo este tipo de posts sobre libros interesantes de leer.

Hoy os traigo un 2x1 dos libros en un solo post.

¿Quién no conoce OWASP? Seguro que casi todos los que estáis leyendo este blog sabéis que es OWASP y sabéis que tiene una barbaridad de proyectos, todos ellos relacionados con la seguridad.

Algunos de esos proyectos se acaban materializando en guias fantásticas y de eso quiero hablaros hoy:

OWASP CODE REVIEW

Uno de los textos que nacieron durante los años más prolíficos de OWASP (2008) una maravilla de guía que nos da todo un paseo sobre cómo revisar código.

Después de unos temas de introducción aborda esas partes, que casi todo programa tiene, y son un punto de interés: Autenticación, Autorización, Administración de sesiones, entrada de datos, control de errores, criptografía...

Quienes hicieron esta guía se tomaron muchas molestias en que todo estuviera ilustrado con ejemplos de código, encima doble ya que todos los puntos tienen ejemplos tanto de Java como de .NET lo cual es una maravilla para los que estamos empezando en temas de desarrollo seguro.

Como crítica dos cosillas:

- Desactualizado en algunos puntos, desde 2008 a hoy han cambiado cosas e incluso código. La buena noticia es que si buscas el proyecto hay una Alpha por lo que parece que está en camino la nueva versión de esta guía. Os animo a quienes sepáis de estos temas a que colaboréis os dará reputación y formareis parte de una de las joyas de la corona de OWASP.

- Checklist: AL final de documento si lista una serie de órdenes a revisar pero se echa une falta una buena checklist. Lo bueno es que ando acabando otro libro que si incluye la mejor checklist que he visto hasta ahora, espero podéroslo subir dentro de poco. 

OWASP Guide

Este documento está traducido al castellano como "Una guía para construir aplicaciones y servicios web seguros".

Trata de otra de las estrellas de OWASP, este aún es más antiguo que el anterior, su versión traducida al castellano data de 2005 pero es toda una maravilla.

Al igual que la guía anteriormente dicha pasa por autenticación, autorización, manejo de sesiones... Pero en este caso desarrolla más los contenidos dando pautas de las diferentes vías por donde pueden venir los problemas y cómo prevenirlos.

Es mucho más teórica, apenas contiene ejemplos d código pero dada lo antigua que es eso la hace más útil hoy en día.

Una autentica maravilla de texto, del cual creo que también hay un proyecto para actualizarlo y espero que alguien se anime a colaborar.

Por resumirlo es una checklist gigante pero desarrollando todos los puntos enormemente.

Una maravilla, sus más de 300 páginas os parecerán poco.

Espero que con este post os haya acercado un poco más las guías que tiene OWASP, tiene tantos proyectos que navegar entre sus páginas y saber que hay puede acabar siendo una locura pero OWASP es una comunidad abierta, os animo a que nadéis en ella y, si os veis con fuerza, apuntaros a algún proyecto.

El hermano mayor CAPEC

La semana pasada hablé sobre STRIDE, como ya os comenté se trata de una forma de categorizar las vulnerabilidades y es un concepto muy conocido por los profesionales de la seguridad.

No obstante no es el único, ni el más completo, tiene un hermano mayor que se llama CAPEC.

 
 

CAPEC es un directorio extremadamente completo donde se listan las topologías de ataques repartidos en diferentes categorías y explicando cada uno de esos ataques con un cierto grado de comprensión. 

Estas son las diferentes categorías principales de CAPEC, rápidamente se puede observar que es más completo y rico que STRIDE. 

CAPEC incluye hasta los ataques de acceso físico o el código malicioso.

Esto no quiere decir que STRIDE sea peor, realmente si te pones estas categorías puedes agruparlas dentro de las seis del anterior pero si es cierto que cuando comienzas adentrarte en el mundo del modelado de amenazas y ya controlas el juego de cartas de Microsoft echas en falta cosillas que CAPEC te puede dar, además CAPEC está muy cerca de poder considerársele un estándar y tiene un mantenimiento, por lo que siempre está creciendo su catálogo.

¿Dónde está el punto negativo?

Esto ya es una visión más subjetiva, CAPEC es todo un catálogo, pero como sucede con los diccionarios solo nos da la definición del concepto. Si tú lees sopa en el diccionario verás su definición pero no la receta de cómo hacer una o detectar cual es una sopa entre cientos de platos diferentes.

Resumiendo, se echa en falta un mayor grado de detalle en los diferentes conceptos.

Este problema creo que lo detectó en su día Leonardo Cavallari Militelli cuando fundó el proyecto ASDR en OWASP, todo un compendio excelente de posibles ataques con información muy detallada de los mismos e incluso ejemplos de código vulnerable/seguro en algunos de sus conceptos.

Toda una maravilla de proyecto que dio lugar a un libro muy extenso (598 páginas) pero que, por desgracia, murió en su versión Alpha hace ya unos años.

La pregunta es… ¿os animáis alguno a retomar el proyecto ASDR?