SEGURIDAD INFORMÁTICA Y HACKING ÉTICO

La guía de testeo de OWASP define 12 principios básicos.

No existe la solución definitiva

La seguridad no consiste en comprar programas o “cacharros” y utilizarlos sin más. La seguridad está relacionada con las personas y los procedimientos, además de con la tecnología. No existe ninguna herramienta ni ningún appliance que simplemente por utilizarlo ya nos de seguridad. Las herramientas sirven para escalar nuestro trabajo (permitiéndonos hacer más con menos esfuerzo) y para implementar políticas de seguridad. Pero la solución definitiva no existe.

Hay que pensar estratégicamente, no tácticamente

Cuando se detecta un fallo de seguridad no hay que “simplemente” solucionarlo, desplegar el parche y esperar el siguiente fallo. Es necesario aplicar a nuestro proceso de desarrollo las medidas correctivas que nos permitan reducir el número de fallos que se producen. La prevención es la mejor manera de proteger la seguridad de nuestros sistemas.

El ciclo de desarrollo es la clave

La OWASP Testing Guide insiste a lo largo de toda la primera parte en que lo fundamental del análisis de seguridad es su integración en el ciclo de desarrollo de software. Es importante que desde la fase de definición de requerimientos y diseño de la aplicación se tenga la seguridad en mente.

Testear pronto y frecuentemente

Cuanto antes comencemos a testear y cuanto más frecuentemente lo hagamos durante el proceso de desarrollo, mejor software produciremos, más robusto y con menos fallos. De esta forma también se reducirán los costes de programación al corregir los fallos en una fase inicial del desarrollo de la aplicación.

Comprender el alcance de la seguridad

Analizar la seguridad de una web es un constante proceso de priorización. No podemos analizar exhaustivamente todos y cada uno de los puntos de una aplicación web por lo que debemos tener en cuenta dónde están los riesgos y priorizar en aquellos que más probablemente va a buscar un atacante y más impacto tienen en el negocio.

Desarrollar la mentalidad correcta

Nadie tiene, al menos nadie que yo conozca, un nombre de 2049 caracteres, con caracteres como ‘, ; o #. Sin embargo, esto no significa que en un campo de entrada de un nombre de persona no pueda introducirse una cadena con esta longitud y con estos caracteres. Cuando se analiza la seguridad de un software hay que pensar “fuera de la caja”, hay que usar “pensamiento oblicuo” y ver de qué manera un atacante podría vulnerar el correcto funcionamiento de una aplicación introduciendo datos incorrectos. Normalmente se usan casos extremos, cero caracteres, miles de caracteres, caracteres infrecuentes, cadenas de formato, etc. Para realizar análisis de seguridad es imprescindible desarrollar la mentalidad correcta.

Dominar la materia

En este punto, OWASP se refiere a dominar los requerimientos de la aplicación que se está desarrollando. Aunque se haga uso de metodologías ágiles de programación, es importante que exista una documentación básica de los requerimientos de la aplicación que se está desarrollando, en forma de diagramas, pseudocódigo, actas de reunión, una wiki o cualquier otro método.

Utilizar las herramientas adecuadas

“Dame seis horas para cortar un árbol, y pasaré las primeras cuatro afilando el hacha.” Abraham Lincoln

Las herramientas son un aspecto fundamental en un análisis de seguridad. Sin las herramientas adecuadas y su conocimiento se pierde eficiencia y eficacia y se invierte más tiempo es tareas repetitivas, dejando menos tiempo para el análisis.

El diablo está en los detalles

Un análisis superficial de seguridad como el que nos ofrecen determinadas herramientas de seguridad, no es suficiente. Es conocido que en el campo de la seguridad los falsos positivos son muy frecuentes. Para realizar un análisis diligente es necesario verificar las vulnerabilidades que identifiquemos y estirar de todos los hilos.

Utilizar el código fuente cuanto esté disponible

No siempre es posible disponer del código fuente de una aplicación cuya seguridad estamos analizando, sin embargo, la identificación de determinadas vulnerabilidades es más exhaustiva si el experto que analiza la web dispone del código y tiene los conocimientos necesarios para analizarlo.

Desarrollar métricas

Las métricas son un aspecto en ocasiones minusvalorado, pero fundamental en el campo de la seguridad. Si podemos medir, podemos mejorar. No es sencillo, pero es necesario desarrollar las métricas adecuadas para poder medir la seguridad de nuestras aplicaciones y la calidad del análisis y así poder establecer objetivos de mejora concretos.

Documentar

Documentar es una palabra temida en ocasiones por los técnicos. Sin embargo, documentar es un aspecto fundamental de cualquier aplicación y, por supuesto, de cualquier análisis de seguridad. Si la dirección de la organización no puede entender el problema existente, es improbable que disponga los recursos necesarios para solucionarlo. Igualmente, si no documentamos los problemas, no podremos calcular métricas y no tendremos referencia en el futuro de fallos pasados.