jueves, 15 de enero de 2015

Libros sobre ciclos de desarrollo seguro. Parte 1



Por motivos laborales he estado estos últimos meses sumida en investigación/aprendizaje de los ciclos de desarrollo de software seguro.
 Es un tema extremadamente interesante pero que abarca tantas ramas, que son necesarias muchas horas de estudio para ir entendiendo todos los pasos y lo que implica este cambio en las filosofías empresariales de desarrollo de software. No es solo introducir nuevos hitos en el ciclo de desarrollo sino, a mi modo de ver, es cambiar la filosofía completa de la empresa.
En algunos países nos llevan una gran ventaja en este tema, las grandes empresas ya tienen implementados estos ciclos en un estado avanzado de madurez. Mientras que por aquí el mercado empieza a buscar expertos en desarrollo seguro cosa que está muy compleja de encontrar.
Estos días os traeré una serie de libros que recomiendo leer para ir entendiendo las bases de un desarrollo de software seguro.
 Para ir abriendo boca hoy os traigo “Software Security. Building Security In” tras pasarme unas cuantas horas entre sus páginas lo he considerado como uno de los libros precursores (o el abuelo) de las metodologías que están surgiendo hoy. Todo un ejercicio y compendio de teorías, ideas y buenas prácticas para poder ir adoptando un modelo de desarrollo en las empresas.
 




Aquí el autor ya establece tres pilares fundamentales de la seguridad en el software:

  •  Administración de riesgos (Risk Management).
  • Hitos dela seguridad en el software (Software Security Touchpoints).
  • Conocimiento (Knowledge).

Administración de riesgos, se compone de las siguientes actividades fundamentales:
  • Entender el contexto de negocio.
  • Entender los riesgos de negocio y técnicos.
  • Sintetizar y priorizar los riesgos, crear un ranking.
  • Definir la estrategia de mitigación.
  • Realizar las correcciones necesarias y validar que son correctas.
Por otro lado establece diferentes hitos durante el ciclo de desarrollo:
  • Revisión de código.
  • Análisis de riesgos arquitecturales.
  • Test de penetración.
  • Test de seguridades basados en riesgos.
  • Casos de abuso.
  • Requerimientos de seguridad.
  • Operaciones de seguridad.
Y por último el conocimiento lo divide en diferentes entregables:
  • Herramientas.
  • Procesos
  • Criterios de decisión
  • Patrones
  • Ejemplos
  • Mejores prácticas
  • Guías
  • Métricas
  • Reglas
Todo esto se puede ver de forma gráfica en el diagrama que, a más de uno os sonará y sino, seguro que sale en varios post en adelante:


En resumen, este libro sienta las bases y te acomoda a entender los diferentes hitos que necesita un desarrollo seguro. Se adentra en cada uno de los pasos explicando con detalle lo que se ha de sacar de cada uno de ellos.
Los contras que puedo decir, he echado en falta ejemplos más visuales pero la documentación de métricas más modernas si disponen de ellos, por lo que a nivel teórico es un libro estupendo.

La gran frase de este libro:
Software security is not security software.
Publicado por en No hay comentarios:
Etiquetas: , , , , ,
Ubicación: Madrid, Madrid, España

martes, 1 de abril de 2014

Qué es Grode



Estas últimas semanas he estado "internada" frente al pc programando como loca lo que será, espero, mi aprobado en el proyecto final de grado.
Ya os hablé de esta herramienta en una de las charlas que dipara Gr2Dest, en esa charla presenté en sociedad a Grode.
En aquel entonces era una inocente herramienta que auditaba archivos Robots.txt con solo introducirle la dirección web que quisieras.

Grode ha crecido, un poquito, y ahora tiene más funcionalidades:
- Audita el nivel de seguridad ante ataques SQL Injection tanto a través de la dirección como introduciendo esos datos en los posibles formularios (tranquilos, tú sigues teniendo que poner solo una dirección web).
- Audita la posible fuga de información ante posibles errores que se puedan causar en la web.

La batería de pruebas quiero ampliarla y, por supuesto, Grode será liberado (no os riais de mi código que está realizado con mucho amor y poco tiempo) para que pueda crecer dentro de una comunidad.
La idea final es ampliar sus bancos de pruebas y que audite un rango muc
ho mayor de ataques.
Como este e smi proyecto final al primero que se lo he de "vender" es a mi tutor de la universidad, para ello he preparado una Beta de las diapositivas. Me apreció una idea graciosa para una herramienta beta, una exposición beta. De ahí que estén tan austeras.
Sé que os va a gustar el proyecto y para quien quiera irse apuntando a futuro programador, que me mande un mail y le avisaré en cuanto pueda liberar el código, lo que viene siendo... Unas horas después de la presentación ante el tribunal :)
Sin más os dejo con la presentación o, si lo preferís, iros a testar la herramienta que testers siempre te dan comentarios para mejorar muy buenos.

www.grode.es

Publicado por en 1 comentario:
Etiquetas: , , ,

sábado, 15 de febrero de 2014

Charla Google Hacking


Muy buenas a todos:
El Lunes 3 me estrené en el grupo como ponente con una charla sobre Google Hacking.
De igual modo este jueves pasado la volví a repetir en mi trabajo dejando a mis compañeros perplejos con lo que nos podemos encontrar trasteando un poco por Google.
Os dejo el video de la sesión con Gr2Des grabado y las diapositivas para que podáis trastear con ello :)
Es la presentación de la primera funcionalidad de Grode (un software que estoy realizando) en sociedad, espero os guste.


Publicado por en No hay comentarios:
Etiquetas: , ,

martes, 4 de febrero de 2014

TechFest 2014



Este Viernes podré acudir al TechFest, un festival de informática y emprendimiento tecnológico que organiza la Escuela Politécnica de la Universidad Carlos III de Madrid.
Si queréis ver el programa que tendrá y los laboratorios os dejo el link:
https://techfest.uc3m.es/programa/
O cómo llegar:
https://techfest.uc3m.es/lugar/
Para que no os pase como a mí en Codemotion, que me perdí y llegue tarde para algunas charlas jejje.
Quien vaya a acudir qu ee avise, así nos tomamos un cafelillo entre charla y charla.
La única pena es que el Jueves me lo pierdo, pero ya sabéis... La dura vida del trabajador :)
Ya os contaré que tal estuvo el evento.
Publicado por en No hay comentarios:
Etiquetas:

viernes, 24 de enero de 2014

Se desató la locura



Como ya os he ido contando los últimos meses me embarque en el proyecto de hacer un grupo de estudio sobre seguridad informática.
Al principio solo éramos unos poco valientes pero pronto llegamos a más de 100 inscritos en la comunidad de Meetup.
Varios invitados han pasado ya por nuestras sesiones online que organizábamos semanalmente, no veáis el curro que supone organizar algo así, y no habría sido posible si no es por la gente que he conocido en este tiempo que llevamos con Gr2Dest.
El pasado Lunes invite a Chema Alonso a formar parte de los invitados que han pasado a darnos una charla, no solo aceptó encantado sino que además nos dedicó un post contando quiénes somos y que estamos tratando de hacer.
El post de Chema Alonso
Justo al día siguiente firmamos con la gente de BackTrack Academy una alianza para cedernos ponentes y ayudarnos en todo lo posible para seguir formando y fomentando la seguridad e inseguridad por la red.
Alianzas BackTrack Academy/
La locura se desató y hemos triplicado en solo 4 días el número de personas que somos en el grupo.
Ahora tenemos decenas de personas que quieren aprender, los que quieren ayudar y enseñar, se nos han abierto decenas de frentes con nuevos proyectos e ideas. Una barbaridad de curro en el que estoy más que encantada de poder estar participando.
A todos vosotros, gracias.
Y a los que aún no os habéis animado estáis tardando en apuntaros, que se necesita ayuda para afrontar todos los proyecto que en breves os iremos contando para el grupo.
Toda la información en: Gr2Dest.org
Publicado por en No hay comentarios:
Etiquetas: ,
Suscribirse a: Entradas (Atom)