jueves, 15 de enero de 2015

Libros sobre ciclos de desarrollo seguro. Parte 1



Por motivos laborales he estado estos últimos meses sumida en investigación/aprendizaje de los ciclos de desarrollo de software seguro.
 Es un tema extremadamente interesante pero que abarca tantas ramas, que son necesarias muchas horas de estudio para ir entendiendo todos los pasos y lo que implica este cambio en las filosofías empresariales de desarrollo de software. No es solo introducir nuevos hitos en el ciclo de desarrollo sino, a mi modo de ver, es cambiar la filosofía completa de la empresa.
En algunos países nos llevan una gran ventaja en este tema, las grandes empresas ya tienen implementados estos ciclos en un estado avanzado de madurez. Mientras que por aquí el mercado empieza a buscar expertos en desarrollo seguro cosa que está muy compleja de encontrar.
Estos días os traeré una serie de libros que recomiendo leer para ir entendiendo las bases de un desarrollo de software seguro.
 Para ir abriendo boca hoy os traigo “Software Security. Building Security In” tras pasarme unas cuantas horas entre sus páginas lo he considerado como uno de los libros precursores (o el abuelo) de las metodologías que están surgiendo hoy. Todo un ejercicio y compendio de teorías, ideas y buenas prácticas para poder ir adoptando un modelo de desarrollo en las empresas.
 




Aquí el autor ya establece tres pilares fundamentales de la seguridad en el software:

  •  Administración de riesgos (Risk Management).
  • Hitos dela seguridad en el software (Software Security Touchpoints).
  • Conocimiento (Knowledge).

Administración de riesgos, se compone de las siguientes actividades fundamentales:
  • Entender el contexto de negocio.
  • Entender los riesgos de negocio y técnicos.
  • Sintetizar y priorizar los riesgos, crear un ranking.
  • Definir la estrategia de mitigación.
  • Realizar las correcciones necesarias y validar que son correctas.
Por otro lado establece diferentes hitos durante el ciclo de desarrollo:
  • Revisión de código.
  • Análisis de riesgos arquitecturales.
  • Test de penetración.
  • Test de seguridades basados en riesgos.
  • Casos de abuso.
  • Requerimientos de seguridad.
  • Operaciones de seguridad.
Y por último el conocimiento lo divide en diferentes entregables:
  • Herramientas.
  • Procesos
  • Criterios de decisión
  • Patrones
  • Ejemplos
  • Mejores prácticas
  • Guías
  • Métricas
  • Reglas
Todo esto se puede ver de forma gráfica en el diagrama que, a más de uno os sonará y sino, seguro que sale en varios post en adelante:


En resumen, este libro sienta las bases y te acomoda a entender los diferentes hitos que necesita un desarrollo seguro. Se adentra en cada uno de los pasos explicando con detalle lo que se ha de sacar de cada uno de ellos.
Los contras que puedo decir, he echado en falta ejemplos más visuales pero la documentación de métricas más modernas si disponen de ellos, por lo que a nivel teórico es un libro estupendo.

La gran frase de este libro:
Software security is not security software.
Publicado por en No hay comentarios:
Etiquetas: , , , , ,
Ubicación: Madrid, Madrid, España

martes, 1 de abril de 2014

Qué es Grode



Estas últimas semanas he estado "internada" frente al pc programando como loca lo que será, espero, mi aprobado en el proyecto final de grado.
Ya os hablé de esta herramienta en una de las charlas que dipara Gr2Dest, en esa charla presenté en sociedad a Grode.
En aquel entonces era una inocente herramienta que auditaba archivos Robots.txt con solo introducirle la dirección web que quisieras.

Grode ha crecido, un poquito, y ahora tiene más funcionalidades:
- Audita el nivel de seguridad ante ataques SQL Injection tanto a través de la dirección como introduciendo esos datos en los posibles formularios (tranquilos, tú sigues teniendo que poner solo una dirección web).
- Audita la posible fuga de información ante posibles errores que se puedan causar en la web.

La batería de pruebas quiero ampliarla y, por supuesto, Grode será liberado (no os riais de mi código que está realizado con mucho amor y poco tiempo) para que pueda crecer dentro de una comunidad.
La idea final es ampliar sus bancos de pruebas y que audite un rango muc
ho mayor de ataques.
Como este e smi proyecto final al primero que se lo he de "vender" es a mi tutor de la universidad, para ello he preparado una Beta de las diapositivas. Me apreció una idea graciosa para una herramienta beta, una exposición beta. De ahí que estén tan austeras.
Sé que os va a gustar el proyecto y para quien quiera irse apuntando a futuro programador, que me mande un mail y le avisaré en cuanto pueda liberar el código, lo que viene siendo... Unas horas después de la presentación ante el tribunal :)
Sin más os dejo con la presentación o, si lo preferís, iros a testar la herramienta que testers siempre te dan comentarios para mejorar muy buenos.

www.grode.es

Publicado por en 1 comentario:
Etiquetas: , , ,

sábado, 15 de febrero de 2014

Charla Google Hacking


Muy buenas a todos:
El Lunes 3 me estrené en el grupo como ponente con una charla sobre Google Hacking.
De igual modo este jueves pasado la volví a repetir en mi trabajo dejando a mis compañeros perplejos con lo que nos podemos encontrar trasteando un poco por Google.
Os dejo el video de la sesión con Gr2Des grabado y las diapositivas para que podáis trastear con ello :)
Es la presentación de la primera funcionalidad de Grode (un software que estoy realizando) en sociedad, espero os guste.


Publicado por en No hay comentarios:
Etiquetas: , ,
Suscribirse a: Entradas (Atom)